È una buona idea deprecare il supporto per alcuni client non sicuri su un sito web?

2

Ho uno scenario in cui un sito Web sicuro con una valutazione complessiva di A ssllabs riceve alcuni avvisi a causa della mancanza di supporto per i browser non SNI.

  • Android 2.3.7 Certificato errato perché questo client non supporta SNI
  • IE 6 / XP Connessione chiusa dal server
  • IE 8 / XP Certificato errato perché questo client non supporta SNI
  • Java 6u45 il client non supporta i parametri DH > 1024 bit

Mi è venuta l'idea (forse non la migliore) di consentire a quei browser di raggiungere il sito Web inviando le richieste a un back-end secondario non sicuro (https) utilizzando le informazioni sull'agente utente http.

Comprendo che consentire a quei clienti di raggiungere il sito Web sarebbe una violazione della sicurezza, ma almeno saranno in grado di vedere il sito web.

Quindi, la mia domanda riguarda una concezione della sicurezza, cosa è peggio / migliore? Consentire a quei clienti di raggiungere il sito web anche se ciò comporta un problema di sicurezza o di deprecare il supporto per quei browser?

    
posta J. Canseco 25.09.2016 - 00:22
fonte

1 risposta

0

Nel tuo caso particolare, il rilascio del supporto sembra una buona idea.
Ogni nuovo servizio fornito, aggiunge un potenziale vettore di attacco. Oltre a ciò si aumenta il costo di manutenzione del prodotto. L'aggiunta di un meccanismo di supporto completamente nuovo per meno dello 0,01% degli utenti non mi sembra una buona idea a meno che non siano utenti di importanza significativa (diciamo che hanno una quota del 10% nelle entrate o qualcosa del genere).

Tuttavia, puoi avere un sito Web sicuro che utilizza HTTP (lo scambio di stack non utilizza HTTPS). In uno scenario generale, direi che la decisione è più legata alle questioni economiche e di manutenzione piuttosto che alle questioni tecniche.

  • Quanto vuoi una valutazione A?
  • I clienti generano entrate sufficienti per bilanciare i costi di manutenzione dei server non HTTPS?
risposta data 25.09.2016 - 01:20
fonte

Leggi altre domande sui tag