I miei servizi web pubblici utilizzano HTTP o HTTPS?

0

La situazione è un po 'più complessa di quanto suggerisca il titolo (ma non molto).

Sto lavorando su un'API REST che avrà poche risorse aperte / pubblicamente disponibili e poche con autenticazione. (Quest'ultimo è al momento BasicAuth, ma potrebbe in futuro diventare qualcos'altro.)

Ovviamente, mi piacerebbe avere HTTPS per le risorse autenticate. Ma dovrei anche usarlo per quelli aperti?

Non riesco a decidere tra:

  • L'uso di HTTP significa meno spese generali e meno disturbo con i certificati per server e client
  • Utilizzare HTTPS significa una configurazione più omogenea, in più nasconde il contenuto da leggere durante il trasporto

Pensieri?

    
posta Antares42 23.11.2015 - 15:46
fonte

2 risposte

3

È un problema se qualcun altro è in grado di leggere i dati che stai trasmettendo (inviando e ricevendo)?

È un problema se i dati che trasmetti potrebbero essere alterati nel percorso?

Se la risposta a entrambe le domande è "sì", allora dovresti utilizzare HTTPS.

Ovviamente se i dati che invii sono banali e / o disponibili altrove, allora HTTP va bene. Ma se gli utenti stanno inviando indirizzi email, password, ecc. (Anche se è solo per il tuo sito), allora considera HTTPS.

    
risposta data 23.11.2015 - 15:57
fonte
1

Come analista della sicurezza delle informazioni, la risposta predefinita è di andare completamente in HTTPS (questo potrebbe anche essere un buon argomento per la pagina IS SE.) La ragione è piuttosto semplice, il tuo utilizzo di HTTPS per le tue fonti autenticate, a questo punto, hai già la complessità di utilizzare TLS, estenderlo a porte aggiuntive da un punto di manutenzione è irrilevante.

    
risposta data 23.11.2015 - 16:46
fonte

Leggi altre domande sui tag