Назад | Перейти на главную страницу

Когда целесообразно использовать https?

Похоже, что в наши дни https становится все более популярным. Итак, мой вопрос: когда уместно использовать https? Какие преимущества и недостатки у него есть?

Спасибо!

Я бы сказал, что это всегда подходит для использования (или, по крайней мере, предложения) SSL / https, и это обязательное использовать его при передаче паролей, платежной информации, номеров социального страхования / другой личной информации. Имеет накладные расходы, но, на мой взгляд, стоимость всегда стоит выгоды.

Это, конечно, только мое мнение :-)

Использование HTTPS в значительной степени обязательно, если вы хотите передать что-либо конфиденциальное, например данные для входа или другую личную информацию (если только такие данные не являются вашей целью, например, Facebook или LinkedIn).

В более широком смысле, существует множество конкурирующих драйверов в отношении того, является ли HTTPS хорошей идеей.

  • Если все зашифровать, никто не сможет наблюдать за сеансом связи по сети. Это самый безопасный способ! Большой!
  • Транзакции HTTPS намного сложнее на сервере с точки зрения ресурсов, чем транзакции HTTP, поэтому вам нужно будет начать горизонтальное масштабирование много быстрее, если у вас много транзакций HTTPS. Это быстро становится дорого.
  • На самом деле у старых клиентов все еще возникают проблемы с транзакциями SSL из-за загрузки процессора, что может уменьшить количество пользователей, которые могут использовать ваш сайт.
  • На самом деле старые браузеры имеют проблемы с современными транзакциями SSL из-за проблем с поддержкой протокола, что может уменьшить количество пользователей, которые могут использовать ваш сайт.
  • Некоторые корпоративные сети запрещают поддержку HTTPS для всех доменов, кроме белого списка. Они делают это, потому что они не могут отслеживать транзакции, чтобы гарантировать, что IP-адрес компании не утекает, среди других причин. Это может уменьшить количество пользователей, которые могут использовать ваш сайт на работе.

В зависимости от того, что вы планируете делать со своим сайтом, вышеуказанное может относиться к вам, а может и не относиться. Все зависит от того, насколько далеко вы планируете масштабировать сайт и какова ваша целевая аудитория.

это Журнал BizTech статья выглядит так, как будто она охватывает все основы. В корне:

HTTPS работает вместе с другим протоколом, Secure Sockets Layer (SSL).

Это звучит как тавтология, но вы хотите использовать https, когда вам нужно безопасно отправлять данные. Это будет что-нибудь вроде платежных реквизитов, банковских выписок и т.д.

Но когда безопасность необходима, HTTPS отличает одного отправителя от другого. SSL принимает данные, идущие или поступающие, и шифрует их. Это означает, что SSL использует математический алгоритм, чтобы скрыть истинное значение данных. Есть надежда, что этот алгоритм настолько сложен, что его либо невозможно, либо слишком сложно взломать.

Каждый раз, когда вы отправляете личную информацию туда и обратно. Если вы не используете HTTPS, информация передается в виде обычного текста через Интернет и открыта для анализа.

это, вероятно, хорошее место для начала: http://en.wikipedia.org/wiki/Transport_Layer_Security

но короче, когда вам нужно безопасное соединение.

HTTPS используется, когда вы хотите зашифровать данные между вашим сайтом и пользователем. HTTP по умолчанию отправляет данные в виде обычного текста. Эти данные может перехватить любой злоумышленник, который прослушивает соединение между пользователем и веб-сайтом. Поскольку эти данные представлены в виде обычного текста, злоумышленник может получить ваши учетные данные и другую личную информацию.

HTTPS - это HTTP, используемый вместе с SSL. С HTTPS все данные отправляются в зашифрованном виде. Обратите внимание, что HTTPS не предотвращает прослушивание, он только гарантирует, что полученные данные не могут быть прочитаны злоумышленником.

Таким образом, вы захотите использовать HTTPS всякий раз, когда вы хотите зашифровать данные между вашим сайтом и пользователями.

Для получения дополнительной информации. прочтите следующую статью в Википедии. http://en.wikipedia.org/wiki/HTTP_Secure

Я согласен с Джошем, что шифрование следует считать обязательным при передаче любых данных, которые могут быть использованы для облегчения кражи личных данных. А для доступа в Интернет это почти неизбежно означает SSL.

Я часто удивляюсь количеству сайтов, которые делают все возможное, чтобы защитить данные кредитных карт и другую личную информацию, но не обеспечивают никакой защиты паролей - к сожалению, многие пользователи повторно используют один и тот же пароль на многих сайтах.

Точно так же вы должны быть осторожны и избирательны в отношении суррогатных идентификаторов, таких как файлы cookie. Многие люди ошибаются. например Многие люди думают, что установка файлов cookie в качестве SSL защищает только от атак MITM - но только если вы также убедитесь, что вы не уязвимы для фиксации сеанса. Наличие сертификата SSL и HTTPS не означает, что ваш сайт безопасен. Большинство пользователей не видят разницы, но я могу прочитать исследование, в котором они обнаружили, что большинство пользователей не могут отличить безопасность между сайтом, использующим HTTPS, и сайтом с изображением замка.

Время отклика связано с большими накладными расходами, и, конечно, промежуточные прокси не могут обеспечить кэширование. Балансировка нагрузки - это тоже PITA.