Почему https используется только для входа?

Question

Производительность - единственная проблема? Не может ли соединение https использоваться в течение сеанса пользователя? Очевидно, что происходит меньшее перенаправление!

Я нашел этот связанный вопрос на http против производительности https

Редактировать: Хорошо, я не имел в виду «использовал только для входа в систему». Скорее, я пытаюсь спросить, если вы пришли к точке, где вам нужен https где-то на вашем сайте, будь то логин или платежи, почему бы не сделать все общение с сайтом через http?

В качестве примера возьмем блог-сайт. Теперь сообщения в блоге могут быть созданы путем отправки электронного письма. В дальнейшем я могу указать «вход», а затем «добавить сообщение». В этом сценарии обычно https используется только для входа в систему и затем снова обычный http для фактического добавления сообщения. Так как теперь необходимо обеспечить режим «администратора», так сказать, почему бы не иметь все коммуникации по протоколу https, когда человек находится в режиме «администратора», т.е. вошел в систему.

Answer 1

HTTPS-соединение можно использовать где угодно. Он просто передает все данные с использованием SSL (TLS), который является формой публичного / частного и симметричного шифрования. Это очень затрудняет расшифровку данных, отправляемых на сервер и с сервера.

Из-за затрат на шифрование и дешифрование данных они (в некоторых случаях) не используются там, где конфиденциальные данные не передаются. Неиспользование этого просто уменьшает нагрузку на сервер. Он всегда должен использоваться, когда необходимо передавать конфиденциальные данные. Если вы вводите (например) данные кредитной карты, вам следует проверить, что протоколом является https, а не http.

Answer 2

Производительность - не единственная проблема. Если вы собираетесь использовать HTTPS, вам действительно нужно убедиться, что весь ваш контент, включая сторонние изображения и библиотеки, доступен через HTTPS. В противном случае вы будете создавать раздражающие сообщения со смешанным содержимым в IE:

http://blog.httpwatch.com/2009/04/23/fixing-the-ie-8-warning-do-you-want-to-view-only-the-webpage-content-that-was-delivered-securely/

Это также означает, что вам потребуются отдельные сертификаты SSL для каждого имени хоста, которое вы используете (например, images.example.com), или какой-либо другой SSL-сертификат с подстановочными знаками (например, для * .example.com).

Тщательно сконфигурированный сайт должен подвергаться лишь незначительному попаданию ЦП на клиент и сервер с использованием HTTPS:

http://blog.httpwatch.com/2009/01/15/https-performance-tuning/

Answer 3

"Потому что логин и пароль - самые важные данные, которые нужно быть защищенным. Остальное можно понюхать ... но это будет только в «режиме чтения» хакер не сможет ничего изменить. "

Это звучит неправильно для меня.

Если вход в систему создает какую-то сессию, во время которой какие-либо данные модификация разрешена, тогда должен быть какой-то токен сеанса или идентификатор, обычно сохраняемый в cookie-файле браузера (или эквивалентный). Если вы можете прослушать этот токен сеанса, вы можете создать обновление запросить и отправить его на сервер.

Answer 4

https используется гораздо больше, чем логин. Всякий раз, когда я вхожу в свой онлайн-банк, или делаю логику корзины покупок, или выдаю кредитную карту онлайн, я вижу, что https - это протокол. Лучше, иначе я не буду использовать приложение.

Answer 5

Проще говоря, вы используете HTTPS для пересылки защищенной информации. Таким образом, информация о кредитной карте и пароли будут использовать HTTPS для их защиты. Сравните это с бронированной машиной, используемой для доставки заключенных из окружной тюрьмы в государственную тюрьму. Но как только эта информация окажется в нужном месте, можно использовать простой токен для ссылки на информацию без дальнейшего воздействия. При входе в систему защищенное соединение сгенерирует идентификатор сеанса, который будет действителен в течение 10, 20 минут до истечения срока его действия. Хотя существует риск того, что кто-то получит этот идентификатор сеанса, информации по-прежнему недостаточно для полной обработки вашей информации. У хакера было бы короткое окно для неправильного использования этого идентификатора. Таким образом, с сессиями риск меньше, чем с паролями. То же самое с информацией о кредитной карте. Как только сайт узнает номера вашей кредитной карты, он может просто спросить вас, хотите ли вы использовать карту 1, карту 2 или другую. Он просто присваивает ID каждой карточке, которая обычно представляет собой число от 1 до количества карточек, которое у вас есть. Если кто-то прочтет это, он узнает, что вы платите 49,95 долларов США за карту 1. Хотя они все еще ничего не знают об этой карте.

Вещи, которые необходимо обезопасить, отправляются с броневиками или HTTPS. Все остальное может использовать любой другой вид транспорта.

Answer 6

Поскольку логин и пароль являются наиболее конфиденциальными данными, которые необходимо защитить.

Остальные можно, конечно, прослушать, если они не зашифрованы, но это будет только в «режиме чтения», хакер не сможет ничего изменить. Получив логин / пароль, он, однако, будет.

Конечно, в зависимости от приложения владелец может решить, что остальные данные недостаточно конфиденциальны, чтобы выдержать дополнительную нагрузку шифрования всего трафика. Однако некоторые приложения, такие как системы онлайн-банкинга, поддерживают SSL на всех страницах, поскольку состояние учетной записи, транзакции и даже настройки могут считаться достаточно конфиденциальными, чтобы держать их подальше от посторонних глаз.