Soru Web uygulamamın tamamını https kullanarak mı barındırmalıyım?


Aslında SSL şifrelemeyi kullanmamın tek şartı, bir kullanıcı giriş yaptığında şifrenin şifrelenmesidir. Ancak protokol geçişi hakkında biraz bilgi okuduktan sonra, bir HTTPS oturumu bir HTTP oturumu olarak devralınamaz vb. Ben sadece tüm uygulama sadece HTTPS kullanmak için çok kötü olup olmadığını kendime soruyorum.

Buna karşı sebepler nelerdir ve önemlerini nasıl değerlendirirsiniz? Lütfen ayrıca belirtiniz:

  • Sunucu tarafında ne kadar performans kaybederim (kabaca)?
  • Müşteri tarafında ne kadar performans kaybederim (kabaca)?
  • Sunucu / istemci tarafında başka problemler var mı?

5
2017-11-11 10:45


Menşei




Cevaplar:


Nedenleri: Yok. İnternet güvensiz bir ağdır ve böyle davranılmalıdır.
 Performans hakkında:
 Performans hedefiniz <% 99 zamanında <500 ms yanıt değilse, SSL sizin için darboğaz değildir. Çoğu zaman, SSL'nin dönüşünden çok daha yararlı performans iyileştirmeleri vardır.

HTTPS ir el sıkışması için en büyük performans tıkanıklığıdır, ancak bunu şu şekilde yapabilirsiniz:
  - Kalıcı
  - Assimetric kriptografinin maliyetini azaltan TLS seansının yeniden başlatılmasını sağlayan, her istekte seans tekrarlama istemcisi olmayan bir sertifika (birkaç kb / s) gönderen ve sunucu RSA şifre çözme yapmalı ...

İstemci / sunucu tarafındaki performansın iyileştirilmesi için, istek / cevap / sıkıştırılmış içerik sayısını azaltmak daha önemlidir.

Sunucunuz ve istemci yazılımınız çok eskimiş değilse, sunucuda sertifika / güven zinciri kurulumu ve sertifika yenilenmesi dışında SSL ile ilgili bir sorun olmamalıdır ...

Web uygulamalarının% 99'unun I / O olduğunu ve CPU'nun bağlı olmadığını hatırlatırız. Bu nedenle SSL yalnızca boşta kalan sunucu CPU döngülerini kullanacaktır.


13
2017-11-11 11:42



Kesinlikle buna katılıyorum. Performansın SSL ile ilgili bir endişesi varsa, bu, kullanıcı verilerinin güvenliğini tehlikeye atmak yerine başka yollarla ele alınmalıdır. - Rob Moir
@Robert Tüm site üzerinde https kullanımına alternatif, şifre girilmiş gibi gizli verilerden sonra http protokolüne geçecektir. Bu, programlamanın daha karmaşık olmasını sağlar, ancak kullanıcı verilerinin güvenliğini tehlikeye atmaz. - Joe
@ user54455 - Bunu anlıyorum, ancak yalnızca giriş kimlik bilgileri değil, uygulamada depolanabilecek herhangi bir veri düşünüyorum. Açıkçası, uygulamanızın ne yaptığını bilmiyorum, ancak örneğin bir çevrimiçi CRM aracı ve satın aldığım bir şirket onu kullanıyorsa, satış temsilcimin şifresinin şifrelenmiş olduğunu bildiğimden emin değilim. tarih olarak onların müşteri değildi. - Rob Moir


Hangi kimlik doğrulama yöntemini kullandığınızı belirtmezsiniz. Temel yetkinizi kullanıyorsanız, kimlik bilgilerinin her tarayıcı kapanana kadar istekte bulunun. neyse, bu yüzden hiçbir nokta değişmiyor.

Herhangi bir SSL bağlantısıyla, tek performans ağırlıklı yön, bağlantı için ilk el sıkışmadır. İstemci ve sunucu anahtarları değiştirdikten sonra, hem istemcide hem de sunucuda ek yük önemsizdir, bu yüzden ciddi bir yüksek hacimli sunucuyla uğraşmadığınız sürece SSL bağlantısına devam etmede gerçek bir zarar yoktur. Ne tür bir yük bekliyorsunuz?


3
2017-11-11 11:42



Ben temel auth vb ile aşina değilim. Sadece giriş yaparken, kullanıcı ve parola POST yöntemi kullanılarak iletilir ve oturum bilgisi bir çerez içinde saklanır biliyorum. Buna nasıl diyorsunuz? Sesle ilgili olarak, aşırı yükler beklemiyorum ve performansla ilgili aşırı şartlara sahip değilim. Bu nedenle, SSL'nin tüm web sitem için uygun olacağını düşündüğüm cevaplara dayanarak. - Joe
Aslında. Performans bir endişe değilse, o zaman sadece SSL ile yapışır. Yukarıdaki yanıtı Robert'e bakarak, o zaman uygulama tarafından işlendiğinde, kullanıcı tarafından değil: kullanıcı tarafından şifre çözme bilgisinin oturum çerezi olduğunu unutmayın: tarayıcı tarafından önbelleğe alınmış ve her istekle birlikte gönderilir. Hala kabul edilemez, ancak artan güvenlik, oturum çerezinin kısa bir süre sonra (umarım) süreceği ve bir saldırgan için işe yaramayacağı gerçeğinden kaynaklanmaktadır, bu nedenle zaman penceresi çok azaltılmıştır. - SmallClanger


SmallClanger ve Kristaps ile katılıyorum.

Performans etkisiyle ilgili hiçbir sayım yok, ancak tam SSL (anahtar kelime) giderdim Firesheep). Saldırı tekniklerinin yıllardır var olduğunu biliyorum, ancak şu anda farkındalık artıyor ve tek gerçek çözüm tam SSL.


2
2017-11-11 12:44