1. Accueil
  2. Question et réponse
  3. utilisez uniquement ssl lors de la connexion? ou tout le site?

utilisez uniquement ssl lors de la connexion? ou tout le site?

2010-09-23 3 views
5

Je suis actuellement en train de construire un hub de téléchargement/téléchargement de fichiers basé sur le web pour une entreprise qui voulait un moyen facile d'envoyer des fichiers aux clients.utilisez uniquement ssl lors de la connexion? ou tout le site?

Ma question tourne autour des parties du site qui ont vraiment besoin d'être cryptées SSL. Est-ce une bonne pratique de ne chiffrer que les formulaires de connexion, mais de laisser d'autres parties du site (comme le processus de transfert de fichiers) non cryptées?

Certains de ces employés travaillent dans des hôtels étrangers où les renifleurs de ligne sont fréquents. Je vais certainement SSL le formulaire de connexion juste pour protéger quelqu'un de voler les informations de connexion et de supprimer des fichiers ou quelque chose. Cependant, étant donné que les fichiers ne sont pas sensibles (aucun fichier sensible n'est jamais utilisé sur ce système), les coûts de vitesse associés au SSL affecteront-ils sérieusement les vitesses de téléchargement/téléchargement?

merci pour toute contribution!

Source

2010-09-23 Dan

Répondre

8

Toute requête nécessitant l'authentification de l'utilisateur doit être traitée via HTTPS. En d'autres termes, toute demande incluant un identifiant de session doit être chiffrée.

Lors de l'authentification, la plupart des systèmes définissent un cookie pour identifier l'utilisateur dans les demandes suivantes. Un man-in-the-middle pourrait ignorer cet identifiant de session s'il est envoyé sur un canal non crypté, tout comme il pourrait espionner un mot de passe. S'ils incluent cet identifiant de session volé, le serveur ne peut pas distinguer les demandes falsifiées de l'attaquant de celles de l'utilisateur réel. La surcharge de SSL est généralement faible par rapport aux autres opérations, et même dans ce cas, c'est principalement pendant la phase d'accord de clé de la prise de contact SSL. Cela peut être évité pour la plupart des demandes en vous assurant que le serveur est configuré pour utiliser des sessions SSL qui permettent d'ignorer la négociation lors des demandes suivantes.

Source

2010-09-23 17:01:36 erickson

+0

Excellente réponse, merci. – Dan

+1

Pour Apache, l'optimisation mentionnée dans le dernier paragraphe est activée par la directive de configuration 'SSLSessionCache'. – caf

0

Je voudrais SSL tout ce qui a des données "sensibles" à ce sujet.

Dans le cas des fichiers que vous transférez, cela peut être quelque chose d'un nom d'un employé, à un client, ou quelque chose de simple comme une adresse e-mail.

Ces éléments doivent toujours être sécurisés.

Rien d'autre n'a pas besoin d'être sécurisé. Les règles varient d'un cas à l'autre, mais tout ce qui contient des informations personnelles/de l'argent doit toujours être sécurisé.

Source

2010-09-23 16:42:25 jimplode

+0

vrai vrai, ne sait jamais ce qu'un employé va mettre dans un fichier. – Dan

0

Vous êtes déjà connecté à SSL, le seul argument contre SSL sur l'ensemble du site est donc un possible appel de service-vitesse-de-requête.

Si vous travaillez sur le type d'application qui n'est pas très sensible à la vitesse, il n'y a pas grand mal à protéger le site entier. Les avantages (toutes les données sensibles sont SSL'd) l'emportent sur les coûts,

Source

2010-09-23 17:07:38 gmoore

Questions connexes

 Questions connexes