1. Trang chủ
  2. Câu hỏi và trả lời
  3. chỉ sử dụng ssl khi đăng nhập? hoặc toàn bộ trang web?

chỉ sử dụng ssl khi đăng nhập? hoặc toàn bộ trang web?

2010-09-23 32 views
5

Tôi hiện đang xây dựng trung tâm tải lên/tải xuống tệp dựa trên web cho một công ty muốn có cách dễ dàng để gửi tệp cho khách hàng.chỉ sử dụng ssl khi đăng nhập? hoặc toàn bộ trang web?

Câu hỏi của tôi xoay quanh những phần nào của trang web thực sự cần được mã hóa SSL. Có thực tiễn tốt để chỉ mã hóa các biểu mẫu đăng nhập, nhưng để lại các phần khác của trang web (như quy trình chuyển tệp) không được mã hóa?

Một số nhân viên trong số này làm việc ngoài các khách sạn nước ngoài, nơi thường xuyên có những người theo dõi đường. Tôi chắc chắn sẽ SSL mẫu đăng nhập chỉ để bảo vệ ai đó khỏi ăn cắp thông tin đăng nhập và xóa các tập tin hoặc một cái gì đó. Tuy nhiên, vì các tệp không nhạy cảm (không có tệp nhạy cảm nào được sử dụng trên hệ thống này), chi phí tốc độ kết hợp với SSL có ảnh hưởng nghiêm trọng đến tốc độ tải lên/tải xuống không?

cảm ơn mọi đầu vào!

Nguồn

2010-09-23 Dan

Trả lời

8

Mọi yêu cầu yêu cầu người dùng được xác thực phải được phân phát qua HTTPS. Nói cách khác, mọi yêu cầu bao gồm số nhận dạng phiên phải được mã hóa.

Trong quá trình xác thực, hầu hết các hệ thống đặt cookie để xác định người dùng trong các yêu cầu tiếp theo. Một người ở giữa có thể lấy thông tin nhận dạng phiên này nếu nó được gửi qua kênh không được mã hóa, giống như họ có thể lấy mật khẩu. Nếu chúng bao gồm mã định danh phiên bị đánh cắp này, máy chủ không thể phân biệt các yêu cầu giả mạo của kẻ tấn công từ các yêu cầu của người dùng thực tế.

Chi phí của SSL thường nhỏ so với các hoạt động khác, và thậm chí sau đó, chủ yếu là trong giai đoạn thỏa thuận chính của bắt tay SSL. Điều này có thể tránh được đối với hầu hết các yêu cầu bằng cách đảm bảo máy chủ được thiết lập để sử dụng các phiên SSL cho phép thương lượng được bỏ qua trên các yêu cầu tiếp theo.

Nguồn

2010-09-23 17:01:36 erickson

+0

Phản hồi tuyệt vời, cảm ơn bạn. – Dan

+1

Đối với apache, tối ưu hóa được đề cập trong đoạn cuối được kích hoạt bởi chỉ thị cấu hình 'SSLSessionCache'. – caf

0

Tôi sẽ SSL bất kỳ nội dung nào có dữ liệu "nhạy cảm" trên đó.

Trong trường hợp các tệp bạn đang chuyển, điều này có thể là bất kỳ thứ gì từ tên của nhân viên, cho khách hàng hoặc thứ gì đó đơn giản như địa chỉ email.

Những thứ này phải luôn an toàn.

Bất kỳ điều gì khác, không cần phải bảo mật.

Quy tắc khác nhau tùy theo từng trường hợp, nhưng bất kỳ thông tin cá nhân/tiền bạc nào cũng phải được bảo mật.

Nguồn

2010-09-23 16:42:25 jimplode

+0

đúng sự thật, không bao giờ biết những gì một nhân viên sẽ đưa vào một tệp. – Dan

0

Bạn đã SSL'ing thông tin đăng nhập, do đó, đối số duy nhất chống lại SSL'ing toàn bộ trang web là một yêu cầu tốc độ dịch vụ có thể xảy ra.

Nếu bạn đang nghiên cứu loại ứng dụng không nhạy cảm với tốc độ, thì sẽ không có nhiều tác hại trong việc bảo vệ toàn bộ trang web. Các lợi ích (bất kỳ dữ liệu nhạy cảm nào là SSL'd) lớn hơn chi phí,

Nguồn

2010-09-23 17:07:38 gmoore

Các vấn đề liên quan

 Các vấn đề liên quan