Где вы должны включить SSL?

В моих последних проектах задействованы веб-сайты, которые продают продукт/услугу, и требуют процесса "проверки", в котором пользователи размещают информацию о своей кредитной карте и т.д. Очевидно, что мы получили SSL-сертификаты для обеспечения безопасности, а также обеспечили спокойствие клиентов. Тем не менее, я немного не разбираюсь в его тонкостях и, самое главное, о том, какие части веб-сайта должны "использовать" сертификат.

Например, я был на веб-сайтах, где, как только вы попали на главную страницу, которую вы помещаете в https - в основном на банковские сайты, - а затем есть веб-сайты, на которых вы только ставите https, когда вы, наконец, проверяете. Это слишком сложно сделать весь сайт запущенным через https, если он не имеет дело с чем-то на уровне банковского дела? Должен ли я делать только страницу https для проверки? Какова производительность при выходе из игры?

ОТВЕТЫ

Ответ 1

Я лично перехожу с "SSL от go to woe".

Если ваш пользователь никогда не вводит номер кредитной карты, обязательно, без SSL.

Но там есть неотъемлемая возможная утечка безопасности из файла cookie.

  • Пользователь посещает сайт и получает куки файл.
  • Пользователь просматривает сайт и добавляет данные в корзину (используя файл cookie).
  • Пользователь переходит на страницу оплаты с помощью файла cookie.

Прямо здесь есть проблема, особенно если вам приходится самостоятельно обрабатывать переговоры по оплате.

Вам необходимо передать информацию из незащищенного домена в безопасный домен и обратно, без каких-либо гарантий защиты.

Если вы сделаете что-то немым, как поделиться тем же самым файлом cookie с безопасным, как и с безопасным, вы можете обнаружить, что некоторые браузеры (по праву) просто отбросят cookie полностью (Safari) ради безопасности, потому что если кто-то нюхает этот файл cookie в открытом состоянии, они могут подделать его и использовать в безопасном режиме, снижая вашу замечательную безопасность SSL до 0, и если данные Карты когда-либо будут даже временно сохранены в сеансе, у вас возникнет опасная утечка.

Если вы не можете быть уверены, что ваше программное обеспечение не подвержено этим слабым местам, я бы предложил SSL с самого начала, поэтому их исходный файл cookie передается в безопасном режиме.

Ответ 2

Если сайт предназначен для общего пользования, вы должны, вероятно, разместить публичные части по HTTP. Это делает вещи проще и эффективнее для пауков и случайных пользователей. HTTP-запросы намного быстрее запускаются, чем HTTPS, и это очень очевидно, особенно на сайтах с большим количеством изображений.

Браузеры также иногда имеют другую политику кэширования для HTTPS, чем HTTP.

Но это нормально, чтобы поместить их в HTTPS, как только они войдут в систему, или как раз перед этим. В тот момент, когда сайт становится персонализированным и не анонимным, он может быть HTTPS оттуда.

Лучше использовать HTTPS для самой страницы входа в систему, а также для любых других форм, поскольку она дает возможность использовать замок, прежде чем они войдут в свою информацию, что делает их лучше.

Ответ 3

Я всегда делал это на всем сайте.

Ответ 4

Я тоже буду использовать HTTPS полностью. Это не оказывает большого влияния на производительность (поскольку браузер кэширует нейтрализованный симметричный ключ после первого соединения) и защищает от обнюхивания.

Sniffing когда-то выходил из-за полностью коммутируемых проводных сетей, где вам пришлось бы усердно работать, чтобы захватить любой другой трафик (в отличие от сетей, использующих хабы), но на обратном пути из-за беспроводных сетей, которые создают среду вещания еще раз, чтобы упростить захват сеанса, если трафик не зашифрован.

Ответ 5

Я думаю, что хорошее эмпирическое правило заставляет SSL везде, где может передаваться конфиденциальная информация. Например: я являюсь членом Wescom Credit Union. На первой странице есть раздел, который позволяет мне войти в мой онлайн-банковский счет. Поэтому корневая страница заставляет SSL.

Подумайте об этом так: будет ли передаваться конфиденциальная личная информация? Если да, включите SSL. В противном случае вы должны быть в порядке.

Ответ 6

В нашей организации мы имеем три классификации приложений -

  • Низкое влияние на бизнес - нет PII, ясное текстовое хранилище, прозрачная текстовая передача, ограничения доступа.
  • Влияние среднего бизнеса - не транзакционный PII, например. адрес электронной почты. ясное текстовое хранилище, SSL от центра обработки данных до клиента, прозрачный текст в центре обработки данных, ограниченный доступ к хранилищу.
  • Высокое воздействие на бизнес - транзакционные данные, например. SSN, кредитная карта и т.д. SSL внутри и за пределами центра обработки данных. Зашифрованное и проверенное хранилище. Аудированные приложения.

Мы используем эти критерии для определения разбиения на разделы данных и для каких аспектов сайта требуется SSL. Вычисление SSL выполняется либо на сервере, либо через ускорители, такие как Netscaler. По мере роста уровня PII также сложность моделирования аудита и угроз.

Как вы можете себе представить, мы предпочитаем делать приложения LBI.

Ответ 7

Кент прибил его. Я просто хочу сделать быстрый комментарий - Amazon делает это хорошо, я думаю. http для большей части сайта, но когда приходит время на проверку, вам нужно снова войти в систему (oneclick немного отличается), возможно, в этот момент есть другой файл cookie. Я думаю, что другие комментарии говорят то же самое, но я просто хотел привести конкретный пример.

Ответ 8

Как правило, в любое время, когда вы передаете конфиденциальные или личные данные, вы должны использовать SSL - например. добавление элемента в корзину, вероятно, не требует SSL, вход в систему с вашим именем пользователя/паролем или ввод ваших данных CC должен быть зашифрован.

Ответ 9

Существует один главный недостаток полного сайта https, и это не скорость (это нормально).

Будет очень сложно запускать Youtube, "Like" и т.д. без предупреждения.

Мы работаем с полным защищенным сайтом и магазином уже два года, и это самый большой недостаток. Нам удалось заставить Youtube работать, но "Добавить это" по-прежнему остается большой проблемой. И если они меняют что-либо на протокол, то может случиться так, что все наши фильмы Youtube пусты...

Ответ 10

Я только перенаправляю свои сайты на SSL, когда пользователю требуется ввести конфиденциальную информацию. С помощью корзины покупок, как только они должны заполнить страницу своей личной информацией или данными кредитной карты, я перенаправляю их на страницу SSL. Для остальной части сайта его, вероятно, не нужно - если они просто просматривают информацию/продукты на вашем сайте торговли.

Ответ 11

SSL довольно интенсивно вычислит и не должен использоваться для передачи больших объемов данных, если это возможно. Поэтому было бы лучше включить его на этапе проверки, где пользователь будет передавать конфиденциальную информацию.