【问题标题】:implications of having a site in full https拥有一个完整 https 的网站的含义
【发布时间】:2012-10-23 22:41:21
【问题描述】:

我目前正在为电子商务开发一个 MVC4 Web 应用程序。该网站将包含一个登录名,用户可以访问该网站,输入他们的详细信息并提交订单等。这是一个传统的电子商务网站。

为了提高网站的安全性,我希望在 https 中设置整个网站。由于用户将提供他们的登录凭据并将个人信息存储在 cookie 中,因此我希望网站得到充分保护。

不过,我有一些顾虑,如果我在 https 中设置网站,会损害性能吗?它会对搜索引擎优化产生负面影响吗?在 https 中拥有整个网站是否还有其他含义?

我使用输出缓存来缓存我的视图内容 - 使用 https 时这些内容是否仍会被缓存?

我一直在查看安全指南和文档,例如来自 OWASP 的this,他们建议这样做。另外,我看到 twitter 等网站完全是 https。

【问题讨论】:

    标签: asp.net performance security https asp.net-mvc-4


    【解决方案1】:

    一般来说,不 - 全站点加密对性能来说不是问题。

    (请确保您在服务器上禁用 SSL 2.0,因为它容易受到 BEAST 攻击;您应该使用自 2000 年以来几乎所有浏览器都支持的 TLS 1.0 或 SSL3.0)。

    性能问题在几年前是个问题,但现在不是了。现代服务器有能力处理每秒数百个请求和响应的加密。

    您没有提到部署负载平衡器或故障转移系统,这意味着您的网站不会受到每秒数千次网页浏览的影响。那是您需要开始使用 SSL 卸载程序的时候 - 但您现在还好。

    输出缓存不受加密影响 - 只需确保您没有将一个人的输出提供给另一个人(即,将购物车或银行详细信息缓存在 Session 中或使用 Cache 密钥中的会话 ID)。

    【讨论】:

    • 是的,我的 Web 应用程序将在多个 Web 服务器之间进行负载平衡 - 是否有影响?
    • 负载平衡如何?我强烈建议使用内置 SSL 卸载的硬件负载平衡器,这肯定会减轻服务器的负担。我不确定如何在不卸载 SSL 的情况下最好地部署基于软件的负载平衡。
    猜你喜欢
    • 1970-01-01
    • 2021-05-12
    • 2011-08-19
    • 2015-01-03
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2011-03-14
    • 1970-01-01
    相关资源
    最近更新 更多