¿Por qué https solo se usa para iniciar sesión?

Question

¿El rendimiento es el único problema? ¿No se puede usar una conexión https durante la sesión de un usuario? ¡Obviamente hay menos redirección sucediendo!

me encontré con esta pregunta relacionada en http vs. https performance

Editar: Ok, no me refiero a 'utilizado única de inicio de sesión'. Más bien, lo que estoy tratando de preguntar es si llega a un punto en el que necesita https en cualquier lugar de su sitio, ya sea de inicio de sesión o pagos, ¿por qué no hacer toda la comunicación al sitio a través de http?

Como ejemplo, asuma un sitio de blog. Ahora, las publicaciones de blog pueden crearse enviando un correo electrónico. Más adelante, podría proporcionar una acción de 'inicio de sesión' y luego 'agregar publicación'. En este escenario, por lo general, el https se usa solo para el inicio de sesión y, a continuación, de nuevo el HTTP habitual para realmente agregar la publicación. Dado que, ahora, la necesidad es proporcionar un modo 'admin', por así decirlo, ¿por qué no tener toda la comunicación en https mientras una persona está en el modo 'admin', es decir, haber iniciado sesión?

Answer 1

El rendimiento no es el único problema. Si va a usar HTTPS, realmente necesita verificar que todo su contenido, incluidas las imágenes y bibliotecas de terceros, esté disponible a través de HTTPS. De lo contrario, que va a generar mensajes de contenido mixto molestos en IE:

http://blog.httpwatch.com/2009/04/23/fixing-the-ie-8-warning-do-you-want-to-view-only-the-webpage-content-that-was-delivered-securely/

Esto también significa que necesitará certificados SSL independientes para cada nombre de host que utiliza (por ejemplo images.example.com) o algún tipo del certificado SSL comodín (p. ej., para * .example.com).

Un sitio con cuidado configurado sólo debe sufrir un ligero CPU golpeado en HTTPS cliente y servidor usando:

http://blog.httpwatch.com/2009/01/15/https-performance-tuning/

Answer 2

Porque el nombre de usuario y la contraseña son la información más sensible que necesita ser protegida.

El resto se puede detectar, por supuesto, si no se encripta, pero eso solo estará en "modo de lectura", el hacker no podrá modificar nada. Al obtener el nombre de usuario/contraseña, sin embargo, lo hará.

Dependiendo de la aplicación, por supuesto, el propietario puede decidir que el resto de los datos no sean lo suficientemente sensibles como para soportar la carga adicional de encriptar todo el tráfico. Sin embargo, ciertas aplicaciones, como los sistemas de banca en línea, hacen SSL en todas las páginas, ya que el estado de la cuenta, las transacciones e incluso la configuración pueden considerarse lo suficientemente sensibles como para mantenerlos alejados de miradas indiscretas.

Answer 3

https se utiliza para mucho más que para iniciar sesión. Cada vez que inicio sesión en mi banco en línea, o hago una lógica de carrito de compras, o entrego una tarjeta de crédito en línea, veo que https es el protocolo. Sería mejor, o no usaré la aplicación.

Answer 4

Una conexión HTTPS se puede usar en cualquier lugar. Simplemente transmite todos los datos mediante SSL (TLS), que es una forma de encriptación pública/privada y simétrica. Hace que sea muy difícil descifrar los datos enviados hacia y desde el servidor.

Debido a los costos de cifrado y descifrado de los datos, (en algunos casos) no se utiliza cuando no se transmiten datos confidenciales. No usarlo solo reduce la carga del servidor. Siempre se debe usar cuando los datos confidenciales necesitan ser transmitidos. Si ingresa (por ejemplo) datos de tarjetas de crédito, debe verificar que el protocolo sea https en lugar de http.

Answer 5

En pocas palabras, utiliza HTTPS para enviar información segura. Por lo tanto, la información de la tarjeta de crédito y las contraseñas usarán HTTPS para protegerlos. Compárelo con un automóvil blindado utilizado para llevar a los presos de la cárcel del condado a la prisión estatal. Pero una vez que esta información está en el lugar correcto, se puede usar un token simple para referirse a la información sin ninguna exposición posterior. Cuando inicie sesión, la conexión segura generará una ID de sesión que será válida durante 10, 20 minutos antes de que caduque. Si bien existe el riesgo de que alguien capture esta ID de sesión, aún no es suficiente información para hacerse cargo de su información por completo. El pirata informático solo tendría una breve ventana para hacer un mal uso de esa identificación. Por lo tanto, hay menos riesgo con las sesiones que con las contraseñas. Lo mismo con la información de la tarjeta de crédito. Una vez que el sitio conoce los números de su tarjeta de crédito, solo puede preguntarle si desea usar la tarjeta 1, la tarjeta 2 u otra. Simplemente asigna una identificación a cada tarjeta, que generalmente es solo un número del 1 al número de tarjetas que tiene. Si alguien lee esto, sabrá que está pagando $ 49.95 con la tarjeta 1. Sin embargo, todavía no saben nada más sobre esta tarjeta.

Las cosas que deben asegurarse, se envían con vehículos blindados o HTTPS. Cualquier otra cosa solo puede usar cualquier otro tipo de transporte.

Answer 6

"Debido a que el nombre de usuario y contraseña son los datos más sensibles que necesitan ser protegidos El. el resto puede ser olido ..., pero eso solo será en "modo de lectura", el hacker no podrá modificar nada ".

Eso me suena mal.

Si el log-in crea una especie de sesión, durante el cual los datos se permite modificación, entonces tiene que haber algún tipo de token de sesión o identificador, que normalmente se almacena en una cookie del navegador (o equivalente). Si puede oler ese token de sesión, puede construir una solicitud de actualización y enviarla al servidor.