1. Inicio
  2. Pregunta y respuesta
  3. solo usa ssl en el inicio de sesión? o todo el sitio?

solo usa ssl en el inicio de sesión? o todo el sitio?

2010-09-23 11 views
5

Actualmente estoy creando un concentrador de carga/descarga de archivos basado en web para una empresa que deseaba una forma fácil de enviar archivos a los clientes.solo usa ssl en el inicio de sesión? o todo el sitio?

Mi pregunta gira en torno a qué partes del sitio realmente necesitan ser cifradas con SSL. ¿Es una buena práctica cifrar solo los formularios de inicio de sesión, pero dejar sin encriptar otras partes del sitio (como el proceso de transferencia de archivos)?

Algunos de estos empleados trabajan en hoteles extranjeros donde los rastreadores de línea son frecuentes. Definitivamente voy a SSL el formulario de inicio de sesión solo para proteger a alguien de robar la información de inicio de sesión y eliminar archivos o algo así. Sin embargo, dado que los archivos no son sensibles (nunca se utilizan archivos confidenciales en este sistema), ¿los costos de velocidad asociados con SSL afectarán gravemente las velocidades de carga/descarga?

gracias por cualquier entrada!

Fuente

2010-09-23 Dan

Respuesta

8

Cualquier solicitud que requiera que el usuario sea autenticado debe enviarse a través de HTTPS. En otras palabras, cualquier solicitud que incluya un identificador de sesión debe estar encriptada.

Durante la autenticación, la mayoría de los sistemas establecen una cookie para identificar al usuario en las solicitudes posteriores. Un hombre en el medio podría husmear este identificador de sesión si se envía a través de un canal no encriptado, del mismo modo que podría husmear una contraseña. Si incluyen este identificador de sesión robado, el servidor no puede distinguir las solicitudes falsificadas del atacante de las del usuario real.

La sobrecarga de SSL es generalmente pequeña en relación con otras operaciones, e incluso entonces, es principalmente durante la fase de acuerdo clave del protocolo de enlace SSL. Esto se puede evitar para la mayoría de las solicitudes al asegurarse de que el servidor esté configurado para usar sesiones SSL que permitan omitir la negociación en solicitudes posteriores.

Fuente

2010-09-23 17:01:36 erickson

+0

Excelente respuesta, gracias. – Dan

+1

Para apache, la optimización mencionada en el último párrafo está habilitada por la directiva de configuración 'SSLSessionCache'. – caf

0

Me gustaría SSL todo lo que tiene datos "sensibles" en él.

En el caso de los archivos que está transfiriendo, esto podría ser cualquier cosa, desde el nombre de un empleado, a un cliente o algo simple como una dirección de correo electrónico.

Estas cosas siempre deben ser seguras.

Cualquier otra cosa, no necesita ser seguro.

Las reglas varían de caso a caso, pero cualquier cosa con información/dinero personal siempre debe ser segura.

Fuente

2010-09-23 16:42:25 jimplode

+0

cierto, nunca se sabe lo que un empleado va a poner en un archivo. – Dan

0

Ya estás autenticando con SSL el inicio de sesión, por lo que el único argumento en contra de SSL en todo el sitio es un posible golpe de velocidad de servicio de solicitud.

Si está trabajando en el tipo de aplicación que no es muy sensible a la velocidad, entonces no hay mucho daño solo por proteger todo el sitio. Los beneficios (todos los datos confidenciales tienen SSL) superan los costos,

Fuente

2010-09-23 17:07:38 gmoore

Cuestiones relacionadas

 Cuestiones relacionadas