Wo sollten Sie SSL aktivieren?
https://stackoverflow.com/questions/107566
-
01-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Meine letzten paar Projekte Websites haben beteiligt, die ein Produkt / Service und erfordern eine ‚Kasse‘ -Prozess verkaufen, in dem Benutzer in ihre Kreditkarteninformationen setzen und so. Offensichtlich haben wir SSL-Zertifikate für die Sicherheit es und gibt innere Ruhe zu den Kunden. Ich bin jedoch ein wenig ratlos, die Feinheiten der es, und vor allem, welche Teile der Website sollte ‚Verwendung‘ das Zertifikat.
Zum Beispiel habe ich auf Websites, in denen der Moment Dir die Homepage schlagen Sie in https gesetzt werden - meist Banking-Websites - und dann gibt es Websites, auf denen Sie nur in https gestellt werden, wenn Sie endlich sind gerade. Ist es übertrieben die gesamte Website über https laufen zu machen, wenn es nicht mit etwas auf der Ebene der Banken befasst sich? Sollte ich nur die Kasse Seite https machen? Was ist die Leistung Hit alle auf geht?
Lösung
Ich gehe persönlich mit „SSL aus gehen zu woe“.
Wenn Ihr Benutzer nie eine Kreditkartennummer eingibt, sicher, kein SSL.
Aber es gibt ein inhärentes mögliche Sicherheitsleck aus der Cookie-Wiedergabe.
- User Besuche Website und wird ein Cookie zugewiesen.
- Benutzer navigiert Website und fügt Daten des Warenkorb (mit Cookie)
- Benutzer weiter zu Zahlungsseite mit Cookie.
Genau hier gibt es ein Problem, vor allem, wenn Sie die Zahlung Verhandlung selbst zu behandeln haben.
Sie müssen Informationen aus der nicht sicheren Domäne auf die sichere Domäne übertragen, und wieder zurück, ohne Garantien des Schutzes.
Wenn Sie etwas Dummes wie Aktien das gleiche tun Cookie mit unsicheren, wie Sie mit sicherem tun, können Sie einige Browser finden (zu Recht) wird nur fällt das Cookie vollständig (Safari) im Interesse der Sicherheit , denn wenn jemand das Cookie in den offenen schnüffelt, können sie sie schmieden und es im sicheren Modus verwenden, um Ihre wunderbare SSL-Sicherheit auf 0 zu verschlechtern, und wenn die Kartendaten jemals auch nur vorübergehend in der Sitzung gespeichert bekommen, haben Sie eine gefährlich warten Leck passieren.
Wenn Sie nicht sicher sein können, dass Ihre Software auf diese Schwächen nicht anfällig ist, würde ich SSL von Anfang vorschlagen, so dass ihre ursprüngliche Cookie in den sicheren übertragen wird.
Andere Tipps
Wenn die Website für die öffentliche Nutzung ist, sollten Sie wahrscheinlich die öffentlichen Teile auf HTTP gesetzt. Das macht die Sache einfacher und effizienter für Spinnen und gelegentliche Nutzer. HTTP-Anforderungen sind viel schneller als HTTPS zu initiieren und das ist sehr offensichtlich, vor allem auf Seiten mit vielen Bildern.
Browser manchmal auch eine andere Cache-Richtlinien hat für HTTPS als HTTP.
Aber es ist in Ordnung, sie in HTTPS zu setzen, sobald sie sich anmelden, oder kurz vor. An dem Punkt, an dem die Website persönliche und nicht-anonyme wird, kann es HTTPS sein von dort weiter.
Es ist eine bessere Idee der Verwendung von HTTPS für das Protokoll auf Seite selbst sowie anderen Formen, wie sie der Verwendung auf das Schloss gibt, bevor sie ihre Informationen eingeben, die sie besser fühlen lassen.
Ich habe es immer auf der gesamten Website getan.
Ich würde verwenden HTTPS den ganzen Weg. Dies stellt keine großen Auswirkungen auf die Leistung haben (da Browser-Cache der negociated symmetrischen Schlüssel nach der ersten Verbindung) und schützt vor Sniffing.
Sniffing war einmal auf dem Weg aus wegen voll verkabelten Netzwerken geschaltet, wo Sie würde extra hart arbeiten, jemand anderen Verkehr zu erfassen (im Gegensatz zu Netzwerken im Gegensatz mit Hub), aber es ist auf dem Weg zurück, weil von drahtlosen Netzwerken, das erstellen, sobald ein Broadcast-Medium wieder eine make Session Hijacking einfach, es sei denn, der Datenverkehr verschlüsselt wird.
Ich denke, eine gute Faustregel zwingt überall SSL wo sensible Informationen möglicherweise übertragen gehen werden. Zum Beispiel: Ich bin ein Mitglied von Wescom Credit Union. Es gibt einen Abschnitt auf der ersten Seite, die ich auf mein Online-Bankkonto anmelden kann. Daher SSL die Root-Seite Kräfte.
Denken auf diese Weise davon: werden sensible private Informationen übertragen werden? Wenn ja, aktivieren Sie SSL. Ansonsten sollten Sie in Ordnung sein.
In unserer Organisation haben wir drei Klassifikationen von Anwendungen -
- Low Business Impact - Nr. PII, Klartextspeicherung, Klartext-Übertragung, keine Zugangsbeschränkungen
- Medium Business Impact - nicht transaktions PII z.B. E-Mail-Addresse. Klartextspeicher, SSL von Rechenzentrum-Client, Klartext in Rechenzentrum, begrenzter Speicherzugriff.
- Hohe Business Impact - Transaktionsdaten z.B. SSN, Kreditkarte etc. SSL innerhalb und außerhalb des Rechenzentrums. Verschlüsselte & Geprüfter Lagerung. Geprüfter Anwendungen.
Wir verwenden diese Kriterien Partitionierung von Daten zu bestimmen, und welche Aspekte der Website erfordern SSL. Berechnung von SSL erfolgt entweder auf dem Server oder durch Beschleuniger wie Netscaler. Als Maß an PII erhöht damit auch die Komplexität der Prüfung und Bedrohungsmodellierung.
Wie Sie sich vorstellen können wir es vorziehen, LBI-Anwendungen zu tun.
Kent genagelt. Ich möchte nur einen kurzen Kommentar machen - Amazon hat dies gut, denke ich. http für die meisten der Website, aber wenn es an der Zeit zu Kasse kommt, du muß Login wieder (oneclick ist ein wenig anders), gibt es wahrscheinlich ein anderes Cookie an diesem Punkt. Ich denke, dass andere Kommentare sagen, die gleiche Sache, aber ich wollte nur ein konkretes Beispiel geben.
Im Allgemeinen sind zu jeder Zeit übertragen Sie sensible oder persönliche Daten sollten Sie SSL verwenden - zum Beispiel ein Element hinzugefügt wahrscheinlich zu einem Korb SSL nicht benötigen, mit Ihrem Benutzername / Passwort anmelden oder Ihre CC Details eingeben sollte verschlüsselt werden.
Es gibt einen großen Nachteil auf eine volle https Website und es ist nicht die Geschwindigkeit (das ist ok).
Es wird sehr schwer sein, Youtube zu laufen "Like" Box usw. ohne unsichere Warnung.
Wir sind eine volle Kräfte gesichert Website laufen und seit zwei Jahren einkaufen und dies ist der größte Nachteil. Wir haben es geschafft Youtube zu bekommen jetzt zu arbeiten, aber die Schaltfläche „Hinzufügen dieses“ ist nach wie vor eine große Herausforderung. Und wenn sie etwas auf das Protokoll zu ändern, dann könnte es sein, dass alle unsere Youtube Filme sind leer ...
ich immer nur meine Seiten zu SSL umleiten, wenn es den Benutzer erfordert sensible Informationen einzugeben. Mit einem Einkaufswagen, sobald sie eine Seite mit ihren persönlichen Daten oder Kreditkartendaten zu füllen haben ich umleiten sie auf eine SSL-Seite. Für den Rest der Seite ist es wahrscheinlich nicht nötig - wenn sie nur Informationen / Produkte auf Ihrer E-Commerce-Website betrachten sind
.SSL ist ziemlich rechenintensiv und sollte nicht verwendet werden, große Mengen von Daten, wenn möglich zu übertragen. Therfore wäre es besser, es an der Kasse der Bühne zu ermöglichen, wo der Benutzer vertrauliche Informationen zu übertragen wäre.
