Où devriez-vous activer SSL?
https://stackoverflow.com/questions/107566
-
01-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Mes derniers projets ont concerné des sites Web vendant un produit / service et nécessitant un processus de "validation" dans lequel les utilisateurs saisissent leurs informations de carte de crédit, etc. De toute évidence, nous avons obtenu des certificats SSL pour la sécurité et la tranquillité d'esprit des clients. Cependant, je suis un peu confus quant à ses subtilités et surtout aux parties du site Web qui doivent "utiliser" le certificat.
Par exemple, je suis allé sur des sites Web dès que vous avez accédé à la page d'accueil où vous êtes placé dans https - principalement des sites bancaires -, puis sur certains sites Web où vous ne le faites qu'en https lorsque vous effectuez une vérification finale. Est-ce excessif de faire fonctionner le site Web entier via https s'il ne traite pas avec quelque chose au niveau bancaire? Dois-je seulement rendre la page de paiement https? Quelle est la performance frappée sur tous les sortir?
La solution
Je vais personnellement avec "SSL de go to woe".
Si votre utilisateur n'entre jamais un numéro de carte de crédit, bien sûr, pas de SSL.
Mais il existe une fuite de sécurité inhérente à la relecture du cookie.
- L'utilisateur visite le site et se voit attribuer un cookie.
- L'utilisateur navigue sur le site et ajoute des données au panier (à l'aide d'un cookie)
- L'utilisateur passe à la page de paiement en utilisant un cookie.
Ici, il y a un problème, surtout si vous devez gérer vous-même les négociations de paiement.
Vous devez transmettre des informations du domaine non sécurisé au domaine sécurisé, et inversement, sans aucune garantie de protection.
Si vous faites quelque chose de stupide comme partager le même cookie avec des moyens non sécurisés que avec secure, vous pouvez trouver que certains navigateurs (à juste titre) vont simplement supprimer le cookie (Safari) pour des raisons de sécurité. , car si quelqu'un détecte ce cookie à l'air libre, il peut le falsifier et l'utiliser en mode sécurisé, dégradant votre sécurité SSL merveilleuse à 0, et si les détails de la Carte sont même temporairement stockés dans la session, vous avez un risque fuite en attente pour se produire.
Si vous ne pouvez pas être certain que votre logiciel n'est pas sujet à ces faiblesses, je suggérerais SSL dès le début, afin que le cookie initial soit transmis de manière sécurisée.
Autres conseils
Si le site est destiné à un usage public, vous devriez probablement placer les parties publiques sur HTTP. Cela rend les choses plus faciles et plus efficaces pour les araignées et les utilisateurs occasionnels. Les requêtes HTTP sont beaucoup plus rapides à initier que HTTPS, ce qui est particulièrement évident sur les sites contenant de nombreuses images.
Les navigateurs ont aussi parfois une politique de cache différente pour HTTPS que HTTP.
Mais vous pouvez les placer dans HTTPS dès qu’ils se connectent, ou juste avant. Au moment où le site devient personnalisé et non anonyme, il peut désormais être HTTPS.
Il est préférable d’utiliser HTTPS pour la page de connexion elle-même, ainsi que pour tout autre formulaire, car cela donne l’utilisation du cadenas avant qu’ils ne saisissent leurs informations, ce qui les rassure.
Je l’ai toujours fait sur l’ensemble du site Web.
Moi aussi, j'utiliserais HTTPS jusqu'au bout. Cela n'a pas un impact important sur les performances (puisque le navigateur met en cache la clé symétrique négociée après la première connexion) et protège contre le sniffing.
Sniffing était une fois sur le point de partir en raison de réseaux câblés entièrement commutés, où vous auriez à travailler très fort pour capturer le trafic de tout le monde (par opposition aux réseaux utilisant des concentrateurs), mais qui est en train de revenir à cause des réseaux sans fil, qui créent à nouveau un support de diffusion et facilitent le détournement de session, à moins que le trafic ne soit crypté.
Je pense qu'une bonne règle empirique consiste à forcer SSL partout où des informations sensibles vont éventuellement être transmises. Par exemple: je suis membre de Wescom Credit Union. Il y a une section sur la page d'accueil qui me permet de me connecter à mon compte bancaire en ligne. Par conséquent, la page racine force SSL.
Pensez-y de cette façon: des informations confidentielles sensibles seront-elles transmises? Si oui, activez SSL. Sinon, ça devrait aller.
Dans notre organisation, nous avons trois classifications d'applications -
- Faible impact sur les entreprises - pas de données personnelles, stockage en texte clair, transmission en texte clair, aucune restriction d'accès.
- Impact sur les entreprises moyennes - Données personnelles non transactionnelles, par ex. adresse électronique. stockage en texte clair, SSL du centre de données au client, texte en clair dans le centre de données, accès limité au stockage.
- Fort impact sur les entreprises - données transactionnelles, par exemple. SSN, carte de crédit, etc. SSL à l'intérieur et à l'extérieur du centre de données. Crypté & amp; Stockage vérifié. Applications vérifiées.
Nous utilisons ces critères pour déterminer le partitionnement des données et déterminer les aspects du site qui nécessitent SSL. Le calcul de SSL est effectué sur le serveur ou par le biais d'accélérateurs tels que Netscaler. Au fur et à mesure que le niveau des informations personnelles augmente, la complexité de l'audit et de la modélisation des menaces augmente également.
Comme vous pouvez l’imaginer, nous préférons utiliser les applications LBI.
Kent l'a cloué. Je veux juste faire un bref commentaire - Amazon le fait bien, je pense. http pour la plupart du site, mais lorsque vient le moment de passer à la caisse, vous devez vous reconnecter (oneclick est un peu différent), il existe probablement un cookie différent à ce moment-là. Je pense que d’autres commentaires disent la même chose, mais je voulais juste donner un exemple concret.
En règle générale, chaque fois que vous transmettez des données sensibles ou personnelles, vous devez utiliser SSL - par exemple. l'ajout d'un article à un panier n'a probablement pas besoin de SSL, la connexion avec votre nom d'utilisateur / mot de passe ou la saisie de vos coordonnées CC doivent être cryptées.
Il existe un inconvénient majeur pour un site https complet et ce n’est pas la vitesse (thats ok).
Il sera très difficile de faire fonctionner Youtube, les boîtes "J'aime", etc., sans avertissement non sécurisé.
Nous exploitons depuis deux ans un site Web entièrement sécurisé et des boutiques en ligne. C’est là le principal inconvénient. Nous avons réussi à faire en sorte que Youtube fonctionne maintenant, mais l'option " Add this " reste un gros challenge. Et s’ils modifient le protocole, il se peut que tous nos films Youtube soient vierges ...
Je ne redirige mes sites vers SSL que lorsque l'utilisateur doit entrer des informations sensibles. Avec un panier d'achat dès qu'ils doivent remplir une page avec leurs informations personnelles ou les détails de leur carte de crédit, je les redirige vers une page SSL. Pour le reste du site, ce n’est probablement pas nécessaire - s’ils ne font que visualiser des informations / produits sur votre site marchand.
SSL nécessite beaucoup de temps de calcul et ne doit pas être utilisé si possible pour transmettre de grandes quantités de données. Par conséquent, il serait préférable de l'activer à la caisse lorsque l'utilisateur transmettrait des informations sensibles.
