是否仅在登录时使用ssl?还是整个网站?
我目前正在为一家公司构建一个基于web的文件上传/下载中心,该公司希望以一种简单的方式将文件发送给客户。
我的问题围绕着站点的哪些部分真正需要SSL加密。只加密登录表单,而不加密站点的其他部分(如文件传输过程),这是一种好的做法吗?
这些员工中的一些人在外国酒店工作,那里经常有线路嗅探员。我肯定要对登录表单使用SSL,以防止有人窃取登录信息和删除文件或其他东西。但是,由于文件不敏感(此系统从不使用敏感文件),与SSL相关的速度成本会严重影响上传/下载速度吗?
感谢您的任何意见!
回答 3
Stack Overflow用户
发布于 2010-09-24 01:01:37
任何需要对用户进行身份验证的请求都应该通过HTTPS提供服务。换句话说,任何包含会话标识符的请求都必须加密。
在身份验证期间,大多数系统都会设置一个cookie来标识后续请求中的用户。如果该会话标识符是通过未加密的通道发送的,则中间人可以监听该会话标识符,就像他们可以监听密码一样。如果它们包含这个窃取的会话标识符,服务器就无法区分攻击者的伪造请求和实际用户的请求。
与其他操作相比,SSL的开销通常很小,即使这样,它也主要是在SSL握手的密钥协商阶段。对于大多数请求,可以通过确保服务器设置为使用SSL会话来避免这种情况,该会话允许在后续请求中跳过协商。
Stack Overflow用户
发布于 2010-09-24 00:42:25
我会对任何有“敏感”数据的东西使用SSL。
对于您要传输的文件,可以是从员工姓名到客户的任何内容,也可以是简单的电子邮件地址。
这些东西应该始终是安全的。
其他任何东西,都不需要是安全的。
规则因情况而异,但任何涉及个人信息/金钱的东西都应该是安全的。
Stack Overflow用户
发布于 2010-09-24 01:07:38
您已经对登录进行了SSL,因此反对整个站点使用SSL的唯一理由是可能的请求-服务速度命中。
如果你使用的应用程序对速度不是很敏感,那么保护整个网站也没什么坏处。好处(任何敏感数据都是SSL的)大于成本,
https://stackoverflow.com/questions/3780582
复制相似问题
腾讯云开发者
