Действительно ли SSL стоит того?

Question

Мне интересно, должен ли я добавить слой SSL между моим сервером и клиентом. Я не обращаюсь с какими-либо конфиденциальными данными, но есть очень маленький шанс, что кто-то захочет взломать передачи, чтобы получить интеллект (кстати, это игра). Теперь объемы обрабатываемых данных значительны по сравнению с небольшим веб-сайтом, и хотя дополнительная безопасность может быть хорошей, наиболее вероятными хакерами будут сами пользователи, поэтому я считаю, что SSL - пустая трата времени, но хотелось бы услышать другие переживания.

Спасибо

Answer 1

Это звучит как вопрос оптимизации. Если у вас есть ценная информация, начните с SSL (сравнительно простое решение для обеспечения безопасности). Как только у вас все заработает, сравните систему с и без. Если вы чувствуете, что снижение производительности стоит потратить время на то, чтобы попробовать и оптимизировать, сделайте это. Если нет, то все готово!

Answer 2

Пользователи входят в систему с именем пользователя и паролем? Если так, я думаю, что это стоит защитить. В конце концов, пользователи могут в конечном итоге использовать пароль, который они используют в безопасных целях в других местах. Я знаю, что они не должны, но ...

Теперь предположим, что кто-то подглядывает в ваш незащищенный разговор. Они получают пароль пользователя для вашего сайта, используют его для входа на конфиденциальный сайт, и они отключены ...

Если вы не хотите шифровать информацию (и я понимаю, что получение действительного сертификата и т. Д. Немного затруднительно), то стоит хотя бы очень четко дать понять пользователям, что их данные не зашифрованы, и настоятельно призываем их не использовать пароль, который они используют в другом месте.

Answer 3

Если вы беспокоитесь о том, что ваши клиенты взломают вашу передачу данных, ssl ничего не купит. Его безопасность канала и, если они владеют клиентом, относительно просто настроить человека в середине сеанса, где они могут просматривать вашу передачу в незашифрованном виде. Если вы беспокоитесь о том, что пользователи могут взломать передачу данных других пользователей, тогда ssl - хорошая и относительно простая мера безопасности.

Answer 4

SSL следует использовать, поскольку вы не знаете, какие эксплойты или проблемы возникнут в будущем.

Конфиденциальность - это только один из способов определить, нужен ли вам SSL, если вы передаете какие-либо личные данные, я бы хотел, чтобы они были защищены. В некоторых странах вы можете нарушать законы о защите данных, не используя SSL.

Существуют и другие способы защиты передаваемых данных, например шифрование полезной нагрузки с помощью ключа PGP перед передачей и дешифрование на сервере.

Answer 5

SSL считается некоторыми исправлением проблемы, которой (почти) не существует. На самом деле очень сложно подключиться к сети и извлечь незашифрованную информацию. Почти никто не делает это.

Если вы посмотрите на случай покупки в интернет-магазине, гораздо вероятнее, что они взломают сервер и загрузят всю базу данных транзакций. В идеальной системе вы никогда бы не отправили учетные данные своей кредитной карты реселлеру, а только подписали сертификат от компании-эмитента кредитной карты, подтверждающий, что транзакция уже была авторизована. Однако в первые дни Интернета это оказалось слишком сложной для настройки системы, но это было бы более правильное решение. В итоге они выбрали менее эффективную, но более простую в реализации систему.

Теперь к вашему вопросу. В вашем случае я не вижу много предложений SSL. Если кто-то хочет настроить программу для отслеживания того, что отправляется в / из сети, это все же можно сделать, поскольку они могут просто установить хуки для захвата данных до того, как они фактически зашифрованы. Если вы беспокоитесь о третьих лицах или противниках, против которых они играют, понюхайте телеграмму, чтобы выяснить информацию об игре, к которой у них не должно быть доступа, такой как чат между товарищами по команде другой команды. Ну, я бы сказал, что риск там довольно минимален, и не стоит обращать на это внимание.

Answer 6

Для принятия разумного решения требуется больше информации, но вам не нужно использовать SSL для защиты ваших данных. Вы всегда можете использовать другой алгоритм и общий секрет между клиентом и сервером или открытые / закрытые ключи. Тогда вы сможете лучше контролировать, какие биты следует защищать, а какие оставить открытыми.

В общем, такие вещи, как логины, всегда должны быть зашифрованы с использованием SSL. Вы можете обменяться новым набором ключей по каналу SSL, а затем переключиться на не-SSL, используя ключи для защиты конфиденциальных данных.

Answer 7

Если известно, что игра отличается от честной, поскольку она небезопасна, я бы опасался, что она перестанет представлять интерес для всех, кроме читеров.

Помимо защиты потока данных, можно ли сократить то, что вы уже отправляете? Или сжать это?

Answer 8

Нет. Если игрок X не находится между игроком Y и сервером, единственные данные, которые он может получить, взломав способ, которым вы говорите, - это данные, которые сервер отправляет игроку X. И эти данные вообще не защищены, поскольку его машина должна быть в состоянии извлечь его в любом случае. Вы также можете просто сжать его, а не использовать SSL: уровень защиты не будет сильно отличаться. Вместо этого просто убедитесь, что вы не отправляете игроку X какие-либо данные, которые он не должен иметь. Маловероятно, чтобы кто-то использовал в игре атаку типа «человек посередине».

Answer 9

В дополнение к примечаниям по поводу шифрования имен пользователей и паролей во время передачи, SSL также предотвращает атаки Man in the Middle за счет добавления накладных расходов к каждому запросу.

Загвоздка в том, что у вас должен быть какой-то способ сообщить клиенту, что ваш конкретный сертификат действителен ... или точнее, что он единственный действительный для вашей игры.

Это также поднимает проблему того, как вы сообщаете игре, когда новый сертификат заменяет старый после истечения срока действия старого.

Серьезно, хотя, если это не какая-то игра с подпиской, SSL, вероятно, излишне.