web-dev-qa-db-ja.com

2011年以降のサイト全体でHTTPSを使用する

これは以前に尋ねられたことを知っていますが、firesheepのようなプログラムが出現して6か月前にリリースされたことで、皆さん全員がどう思うか興味があります。サイト全体でhttpsを使用することをお勧めしますか? 速度の問題、ブラウザの警告ポップアップなどがあることは承知していますが、すべてのページでそれを持たない場合、どれくらいの確率で深刻になる可能性がありますか?友人が私に言ったのは、ユーザーがログインしているサイトの一部がoneだけでもhttpsでない場合は役に立たないということです。 httpsパーツへのアクセスを含めてください。

  1. これがインターネットの未来が向かっている場所だと思いますか、そして今それを実装するのが賢明ですか?

  2. このサイトには、ログイン、クレジットカード/ eコマースタイプのページ、および通常のブログエントリタイプの投稿のみを持つ他のページがあります。サイトのログインと支払いの部分でhttpsを使用するだけでも大丈夫ですか、それとも本当にセキュリティが侵害されますか?

  3. これまでebayやAmazonなどのサイトが、サイトの特定の部分のみでそれを選択した理由は何ですか?それは、彼らが今や簡単にハッキングできるということですか?

  4. すべてでhttpsを使用すると、どれくらい遅くなりますか...上記以外の短所はありますか?

  5. ブラウザのポップアップの問題は解決できますか?

7
Elwy

あなたの友人は正しいです。 Cookieは、画像などでもリクエストごとに送信されるため、Cookieが機密情報である場合はすべてが安全に送信されていることを確認する必要があります。

ブラウザの警告は、サーバーの証明書に問題がある場合にのみ発生します。最も一般的な問題は、有効期限が切れた証明書、不適切に構成された証明書(複数のドメインに同じ非ワイルドカード証明書を使用しようとする)、または信頼できる認証局(Comodo、Thawte、Geotrust、等)。

HTTPSを使用すると、オーバーヘッドが発生します。接続の開始時に発生する「ハンドシェーク」が数分の一秒かかり、プロセッサの負荷がわずかに増加します。これは、人々がダイヤルアップ接続でCPUが遅い場合に問題でした。現在、これは決定的な要因ではなく、CPU負荷が数パーセント増加することはないはずです。プロセッサ時間は今安いです。これらのパフォーマンスの問題はごくわずかです。

インターネットが完全に暗号化されているかどうかはわかりません。おそらく。ユーザーを自動的にログインさせるCookieを含む個人情報(ユーザー名/パスワードに相当しますが、一時的ではありますが)の場合にのみ暗号化を提供する必要があります。 Cookieが機密情報ではなく、個人情報が有線で送信されていない場合、暗号化は必須ではありません。

EBay、Amazonなどはセッションハイジャックに対して脆弱であるとは思わない。また、これらのサイトは、ユーザーがパスワードを再度入力しなくても、ユーザーがパスワードの更新、支払いなどの特別な操作を実行できないようにすることにも注意してください。セッションのハイジャックは、悪意のあるユーザーが何か悪いことができる場合にのみ問題になります。そうでない場合、セッションCookieには価値がありません。

機密性の高いものにはSSLを使用する必要があります。機密性が高い場合は、暗号化します。そうでない場合、平文は大丈夫です。暗号化は万能薬ではなく、セキュリティ戦略の一部です。

5
Matty

サイトが安全なページと安全でないページを切り替える場合、セッションCookieを安全に保つことは間違いなく最大の問題の1つです。しかし、ほとんどのサイトはセッション処理と認証を組み合わせているため、これは問題にすぎません。セッションCookieをセッションの維持にのみ使用する場合、このセキュリティリスクを回避できます。

http-and-https-pages間の切り替え

これでセッションCookieの問題は解決しますが、疑問は残ります。完全なHTTPSサイトのプロセッサパワーを節約するだけの追加の複雑さは価値があるのでしょうか。残念ながら、実際のシナリオの有用なフィールドレポートやベンチマークを取得することは困難です。 Googleのような大企業は完全な暗号化に切り替えていましたが、以前は多くの最適化を行っていたようです:

オーバークロックSSL

私の個人的な意見では、トラフィックが中程度から少ないサイトでは、複雑さを避け、すべてのページにHTTPSを使用する必要があります。大量のトラフィックがある場合(または予想される場合)は、HTTPとHTTPSの切り替えを検討できます。

4
martinstoeckli