Где необходимо включить SSL?
Это прекрасно работает в bash:
END=5
i=1 ; while [[ $i -le $END ]] ; do
echo $i
((i = i + 1))
done
10 ответов
Я лично иду с "SSL от движения до горя".
, Если Ваш пользователь никогда не вводит номер кредитной карты, уверенный, никакой SSL.
, Но от воспроизведения cookie существует свойственная возможная утечка безопасности.
- Пользователь посещает сайт и присвоен cookie.
- Пользователь просматривает сайт и добавляет данные к корзине (использующий cookie)
- , Пользователь продолжает двигаться к платежной странице с помощью cookie.
Прямо здесь существует проблема, особенно если необходимо обработать платежное согласование сами.
необходимо передать информацию от незащищенного домена до безопасного домена, и назад снова, без гарантий защиты.
, Если Вы делаете что-то немое как доля тот же cookie с небезопасным, как Вы делаете с безопасным, можно найти, что некоторые браузеры (справедливо) будут всего отбрасывание cookie полностью (Safari) ради безопасности, потому что, если кто-то осуществляет сниффинг того cookie в открытую, они могут подделать его и использовать его в безопасном режиме к, ухудшая замечательную безопасность SSL к 0, и если детали Карты когда-нибудь даже временно хранятся на сессии, у Вас есть опасная неизбежная утечка.
, Если Вы не можете быть уверены, что Ваше программное обеспечение не подвержено этим слабым местам, я предложил бы SSL от запуска, таким образом, их начальный cookie передается в безопасном.
Если сайт для общедоступного использования, необходимо, вероятно, поместить общедоступные части на HTTP. Это делает вещи легче и более эффективными для пауков и обычных пользователей. Запросы HTTP намного быстрее для инициирования, чем HTTPS, и это очень очевидно особенно на сайтах с большим количеством изображений.
Браузеры также иногда имеют другую политику кэша для HTTPS, чем HTTP.
, Но это в порядке для помещения их в HTTPS, как только они входят в систему, или незадолго до. В точке, в которой сайт становится персонализированным и неанонимным, это может быть HTTPS оттуда вперед.
Это - лучшая идея использовать HTTPS для самой страницы входа в систему, а также любых других форм, поскольку это дает использованию замок, прежде чем они введут свою информацию, которая заставляет их чувствовать себя лучше.
Я также использовал бы HTTPS полностью. Это не оказывает большое влияние производительности (начиная с кэша браузера negociated симметричный ключ после первого соединения) и защищает от сниффинга.
Сниффинг был однажды продвигающийся из-за полностью коммутируемых проводных сетей, где необходимо будет работать дополнительные трудно для получения чьего-либо еще трафика (в противоположность сетям с помощью концентраторов), но это продвигается спина из-за беспроводных сетей, которые создают широковещательный носитель еще раз сделать легкий перехват сеанса, если трафик не шифруется.
Я думаю, что хорошее эмпирическое правило вызывает SSL где угодно, куда уязвимая информация собирается возможно быть переданной. Например: я - член Кредитного союза Wescom. Существует раздел по первой полосе, которая позволяет мне входить в систему своего банковского счета онлайн. Поэтому корневая страница вызывает SSL.
Думают о нем этот путь: чувствительная, частная информация будет передана? Если да, включите SSL. Иначе необходимо быть в порядке.
В нашей организации у нас есть три классификации приложений -
- Низкое Влияние на бизнес - никакой PII, устройство хранения данных открытого текста, передача открытого текста, никакие ограничения доступа.
- Влияние Среднего бизнеса - нетранзакционный PII, например, адрес электронной почты. устройство хранения данных открытого текста, SSL от центра обработки данных до клиента, открытого текста в дата-центре, ограничили обращение к памяти.
- Высокое Влияние на бизнес - данные транзакций, например, SSN, Кредитная карта и т.д. SSL в и за пределами центра обработки данных. Зашифрованный & Контролируемое устройство хранения данных. Контролируемые приложения.
Мы используем эти критерии для определения разделения данных, и какие аспекты сайта требуют SSL. Вычисление SSL или сделано на сервере или через акселераторы, такие как Netscaler. В то время как уровень PII увеличивается также - сложность контрольного и моделирования угроз.
, Поскольку можно предположить, что мы предпочитаем делать приложения LBI.
Обычно каждый раз, когда Вы передаете уязвимые или персональные данные, необходимо использовать SSL - например, добавлять, что для объекта к корзине, вероятно, не нужен SSL, входящий в систему с именем пользователя/паролем или вводящий детали CC должен быть зашифрован.
SSL довольно в вычислительном отношении интенсивен и не должен использоваться для передачи больших объемов данных, если это возможно. Therfore, который было бы лучше включить ему на этапе контроля, куда пользователь будет передавать уязвимую информацию.
Я только когда-либо перенаправляю свои сайты к SSL, когда он требует, чтобы пользователь ввел уязвимую информацию. С корзиной, как только они должны заполнить страницу со своими персональными данными или данными кредитной карты, я перенаправляю их к странице SSL. Для остальной части сайта ее, вероятно, не нужный - если они просто просматривают информацию/продукты о Вашем торговом сайте.
Кент прибил его. Я просто хочу сделать быстрый комментарий -- Amazon делает это хорошо, я думаю. http для большей части сайта, но когда приходит время, чтобы проверить, вы должны войти снова (oneclick немного другое), вероятно, есть другой куки в этот момент. Я думаю, что другие комментарии говорят то же самое, но я просто хотел привести конкретный пример.
.