HTTPS вместо HTTP?

Question

Я новичок в веб-безопасности.

Зачем мне использовать HTTP, а затем переключаться на HTTPS для некоторых соединений?

Почему бы не придерживаться HTTPS полностью?

Answer 1

Существуют интересные улучшения конфигурации, которые могут сделать SSL / TLS дешевле, как описано в этом документе (очевидно, основано на работе команды из Google : Адам Лэнгли, Нагендра Модадугу и Ван-Тех Чанг) : http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html

Если есть один момент, который мы хотим общаться с миром, это то, что SSL / TLS не в вычислительном отношении дороже больше. Десять лет назад возможно, это правда, но это просто уже не так. Ты тоже можешь позволить себе включить HTTPS для ваших пользователей.

В январе этого года (2010) Gmail перешел на использование HTTPS для всего по умолчанию. Ранее это было введен как опция, но теперь все наши пользователи используют HTTPS для защиты своих электронная почта между их браузерами и Google, все время. Для того, чтобы сделать это мы должны были развернуть без дополнительных машины и без специального оборудования. На наши производственные машины, SSL / TLS составляет менее 1% загрузка процессора, менее 10 КБ памяти за соединение и менее 2% сетевые издержки. Многие люди верят что SSL занимает много процессорного времени и мы надеемся, что приведенные выше цифры первый раз) поможет развеять что.

Если вы перестанете читать сейчас, вам нужно только помнить одну вещь: SSL / TLS не вычислительно дороже больше.

Одно ложное чувство безопасности при использовании HTTPS только для страниц входа в систему состоит в том, что вы оставляете дверь открытой для перехвата сеанса (по общему признанию, это лучше, чем отправка имени пользователя / пароля в открытом виде в любом случае); недавно это стало проще (или более популярно), например, с помощью Firesheep (хотя сама проблема существовала гораздо дольше).

Другая проблема, которая может замедлять HTTPS, заключается в том, что некоторые браузеры могут не кэшировать содержимое, которое они извлекают через HTTPS, поэтому им придется загружать их снова (например, фоновые изображения для сайтов, которые вы часто посещаете).

При этом, если вам не нужна безопасность на транспорте (предотвращающая злоумышленников видеть или изменять данные, которыми обмениваются, так или иначе), простой HTTP подойдет.

Answer 2

В основном из соображений производительности.SSL требует дополнительного (серверного) процессорного времени.

Редактировать: Однако в эти дни эти издержки становятся меньшей проблемой, некоторые крупные сайты уже переключились на HTTPS по умолчанию (например, GMail- см. ответ Бруно).

Answer 3

Если вы не передаете данные, которые должны быть защищены, издержки HTTPS не нужны.

Проверьте эту ветку SO для очень подробного обсуждения различий. HTTP против производительности HTTPS

Answer 4

И не менее важная вещь. Брандмауэр, не забывайте, что обычно HTTPS реализован на порту 443. В некоторых организациях такие порты не настроены в брандмауэре или прозрачных прокси.

Answer 5

HTTPS может быть очень медленным и ненужным для таких вещей, как изображения.