我为什么要使用 ssl?

【问题标题】:Why should i use ssl?我为什么要使用 ssl?
【发布时间】:2013-06-20 17:14:13
【问题描述】:

我正在运行一个约会网站,目前没有使用 SSL。

我注意到像 facebook 和 twitter 这样的主要网站不使用 https 登录,而只是使用普通的旧 http,https-ing 我的网站真的有什么优势吗?或者它只用于 cc 交易左右?

提前致谢。

【问题讨论】:

  • Facebook 和 Twitter 确实使用 https 进行登录。就像每个严肃的网站一样。

标签: ssl https


【解决方案1】:

实际上,facebook 确实使用 https 进行登录:

<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form">

就像推特一样:

<form method="post" id="signin" action="https://twitter.com/sessions">

您会注意到他们不使用 https 来显示登录表单的页面。那是因为没有必要。

但是,如果可以的话,最好使用 ssl 登录本身,因为这么多用户对所有网站使用相同的密码。

我希望看到更多网站采用的一种解决方案是使用 OpenID/OAuth 登录,而不是要求用户名/密码。

【讨论】:

  • 感谢您指出这一点,我有点惊讶地发现,网络上的普遍共识是 fb 和 twitter 不使用 ssl,仅基于登录表单不是ssl ...
  • 实际上他们应该在显示登录表单的页面上使用 SSL。否则,中间人可能会重写页面以向 他的 站点发送连接请求。然后他会将你重定向回 facebook.com/twitter.com,然后他会知道你的密码,而你永远不会知道。
  • 他们不这样做一定有什么原因?
  • 他们不这样做的几个原因 - 他们的登录页面可从其网站的每个部分访问,而不仅仅是单个登录页面。他们必须使每个页面都只能通过 https 访问。此外,这对他们已经负担过重的服务器造成了进一步的负担。
  • 看起来 Facebook 已经切换到全 HTTPS 版本了。
【解决方案2】:

SSL 对浏览器和服务器之间的流量进行加密。所以实际上任何你想要安全的东西都需要被 ssl'ed。 Google 搜索甚至正在这样做,因此人们的搜索字词不会被截获。

这只是您想要安全的情况,如果您的网站的某些部分不安全,就会让想要的客户远离。我认为约会网站有很多个人人口统计信息,有些人可能希望这些信息安全......只要我的 2 美分。

【讨论】:

    【解决方案3】:

    SSL 仅在浏览器和服务器之间传输敏感数据时使用。像 facebook 和 twitter 这样的主要网站可以使用 http(只要数据不敏感)。大多数网站的登录页面都使用 SSL。 SSL 还被支付网关用于通过电汇安全地传输支付信息。

    顺便说一句,http 不是“普通的旧”,https 也不是新趋势 :)

    【讨论】:

    • 各大网站使用http获取敏感登录信息怎么办?首先,他们没有。他们使用https。一旦您登录,他们确实会通过 http 发送非敏感数据,但请相信我,当您登录 facebook 或 twitter 时,您不会以纯文本形式发送密码。这将允许您和他们之间的任何人看到您的密码。如果是这样的话,你认为我们不会听说吗?此外,快速查看他们的源代码会发现登录信息是加密发送的。
    • 我不认为这里所说的有什么问题。证明否决票?例如,Facebook 和 Twitter 可以使用 HTTP 进行大部分通信(至少是用户公开资料中的任何数据),但不能像他所说的那样登录。
    • @klausbyskov:如果你看,他从来没有说过可以使用 http 获取敏感的登录信息。
    • 我很抱歉我的错误。我必须改写我的句子。各大网站都可以使用http,。我的下一句话是“大多数网站都使用 SSL 作为他们的登录页面”。同样的事情也适用于 Facebook 和 Twitter。
    • @Mark Peters 和 @klausbyskov:谢谢 :)
    【解决方案4】:

    如果您的用户提供任何敏感数据,ssl 会阻止它被第三方拦截。如果您不使用 SSL,您应该假设某个第三方可以看到您的每个用户在您的网站上所做的一切。如果您对他们看到此信息感到满意,请保持纯 http,但如果您不喜欢这种想法,请转到 https。

    ssl 的另一个好处是它允许使用严格的传输安全性,这不仅在所有站点活动中强制使用 https,而且还可以防止中间人将您的站点欺骗给用户并使他们认为他们正在访问您的网站。详情在这里:http://en.wikipedia.org/wiki/Strict_Transport_Security

    【讨论】:

      【解决方案5】:

      我在一家主要的 ISP 工作,并且很喜欢你们的一位在线会员。通过嗅探你的数据包,我可以了解她何时何地与其他成员会面,重写数据包以更改位置,以免其他人出现,然后采取行动。

      您决定您的用户是否可以接受。

      【讨论】:

      • 不必是 ISP 员工。更准确地说,您可能是她的隔壁邻居,并且闯入了她的无线路由器,并通过您的计算机重定向了她的网站请求。
      • 或者你是她的隔壁邻居,只是看看你的 frikken 窗口。这个例子有点牵强,我认为对于一个约会网站来说,加密登录过程就足够了。进一步的风险更有可能是社交黑客而不是技术黑客性质。
      • @Jordan 和@Wade:这两个场景都是有效的,但探索了不同的方面。 @Jordan:我说“你决定……”是有原因的,但我认为这是一个责任问题,而不是可能性问题。那里有很多毛毛虫。你必须给予他们更多的“尊重”。
      【解决方案6】:

      Https 对保护凭证(用户/密码)很有用,但它会增加网络负载并需要更多 CPU 资源(加密)。因此,通常仅用于身份验证。 Https,带有服务器证书,再次保护网络钓鱼。

      银行使用端到端应用程序

      【讨论】:

      • 它几乎不会增加 CPU 使用或网络负载。而且,当您启用 SSL 进行身份验证时,无论如何您都需要支付大部分 CPU 负载价格。
      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2012-08-26
      • 1970-01-01
      • 1970-01-01
      • 2014-08-08
      • 1970-01-01
      • 2017-01-10
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode