impiegando SSL anche su server Web non critico [duplicato]

1

So che SSL dovrebbe essere usato sui server web che hanno bisogno di raccogliere informazioni sulle carte di credito, ecc .. tuttavia, è meglio per l'industria attivare SSL anche per i server Web non critici? Ad esempio quelli utilizzati solo per la navigazione statica, o quelli che richiedono solo un semplice login e password, questo è tutto.

Mi piacerebbe sentire i tuoi commenti. grazie

    
posta dorothy 17.11.2014 - 16:08
fonte

4 risposte

4

La strategia prudente sarebbe quella di fare SSL ovunque, quindi pensare di passare a non SSL per alcune pagine se (e solo se) sorgono problemi di prestazioni, che rischia di essere risolto con l'assenza di SSL. Non usare SSL significa che l'attaccante passivo può vedere tutto il traffico, e gli attaccanti attivi possono modificare a volontà tutte le parti non SSL, che possono avere profonde implicazioni. Quindi, questo non è qualcosa che dovrebbe essere fatto alla leggera. Anche il mixaggio di contenuto SSL e non SSL all'interno della stessa pagina tende a generare avvisi o rotture del browser, quindi fare SSL parziale può essere difficile.

I "problemi di prestazioni" che possono sorgere in modo plausibile in presenza di un mondo interamente SSL riguardano il caching; con SSL, proxy trasparenti che memorizzano nella cache le richieste di dati man mano che vanno, senza che i client ne siano a conoscenza, non possono più funzionare. I grandi ISP sono piuttosto affezionati ai proxy trasparenti. D'altra parte, i "problemi di prestazioni" che vengono alla mente della maggior parte degli amministratori di sistema (vale a dire, il "evidente" sovraccarico di crittografia) sono, in realtà, per lo più mitici.

La pratica del settore è ovviamente completamente diversa. L'industria, in generale, passa senza SSL, quindi la aggiunge solo a malincuore, molto tempo dopo, solo per alcune pagine, e solo dopo aver speso tutte le scuse su come gli attacchi su pagine non SSL non siano il loro problema dal momento che sono lato client . Per qualche ragione, molti amministratori di sistema pensano di passare a SSL con la stessa mentalità di un ambientalista che considera la sostituzione di una centrale a carbone con uno nucleare.

    
risposta data 17.11.2014 - 16:45
fonte
4

Nel mese di agosto Google ha annunciato che stava dando un piccolo impulso classifica di ricerca per siti che hanno utilizzato SSL.

...Over the past few months we’ve been running tests taking into account whether sites use secure, encrypted connections as a signal in our search ranking algorithms. We've seen positive results, so we're starting to use HTTPS as a ranking signal. For now it's only a very lightweight signal — affecting fewer than 1% of global queries, and carrying less weight than other signals such as high-quality content — while we give webmasters time to switch to HTTPS. But over time, we may decide to strengthen it, because we’d like to encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web.

Quindi Google sta suggerendo e incoraggiando gli operatori del sito Web a renderlo una best practice del settore.

    
risposta data 17.11.2014 - 17:16
fonte
2

Al momento di decidere su SSL o no, ricorda che è più che semplice riservatezza:

  • verifica che il server sia effettivamente il sito con cui pensi di parlare
  • impedire ad altri di vedere dati riservati impedire ad altri di
  • impedisce ad altri di modificare i dati trasferiti

In alcuni casi, il fatto che i dati vengano cambiati al di fuori delle tue conoscenze può essere dannoso quanto la perdita di un segreto.

L'handshake SSL richiede alcuni round trip tra browser e server. Se avete bisogno di andare per SSL, potrebbe essere necessario fare qualche sforzo in più in altre parti del sito web per compensare quella penalizzazione delle prestazioni.

    
risposta data 17.11.2014 - 17:56
fonte
1

Dipende da quali dati saranno passati tra il client e il server. Ad esempio, avrai sicuramente bisogno di SSL per il login utente. Io generalmente uso SSL per tutto ciò che è online. La mia regola generale è che, se i dati passano attraverso un supporto aperto, utilizzare la crittografia.

    
risposta data 17.11.2014 - 16:17
fonte

Leggi altre domande sui tag