L'utilizzo del protocollo "HTTPS" è sufficiente per la sicurezza dei dati dei siti Web, oppure dovrei utilizzare anche un altro algoritmo di crittografia (Elgamal, RSA o qualcos'altro)?
L'attacco BREACH descrive qui influisce su questa decisione?
HTTPS è HTTP-within- SSL (SSL è ora noto come TLS). Il livello SSL fornisce sicurezza per i dati in transito nel senso seguente:
HTTPS non fa nulla oltre la sicurezza dei trasferimenti di dati. Se il tuo sito Web fa cose stupide con i dati ricevuti, ad es. consentendo un attacco Iniezione SQL , allora HTTPS non lo impedirà in alcun modo. Anche gli algoritmi crittografici aggiuntivi non sarebbero di aiuto. La crittografia, di regola, fornisce alcune funzionalità che sono molto convenienti per la sicurezza, ma non sono sufficienti . Gli algoritmi di accumulo non renderanno il tuo sito "arbitrariamente sicuro" nello stesso modo in cui aggiungere motori extra renderà la tua auto più veloce, specialmente se non ha le ruote. Una macchina senza ruota non andrà lontano, anche se ha il motore più grande di sempre, e anche se poi aggiungi un motore in più. Allo stesso modo, HTTPS non garantisce la protezione automatica contro tutto e non si tratta di "non sono stati applicati algoritmi sufficienti".
Inoltre, l'applicazione incurante di più algoritmi crittografici è risaputa che degrada le prestazioni (molto spesso) e anche la degradazione della sicurezza (meno spesso, ma abbastanza spesso da costituire un problema). Nell'analogia dell'automobile, un motore in più può rendere la tua auto più lenta se la ricolleghi, rendendola opponibile al movimento dal motore principale.
Leggi altre domande sui tag tls