Question Devrais-je héberger toute mon application Web en utilisant https?


En fait, ma seule exigence pour utiliser le cryptage SSL est que lorsqu'un utilisateur se connecte, le mot de passe soit transféré crypté. Cependant, après avoir lu quelques mots sur la commutation de protocole, il est impossible de prendre une session HTTPS sous la forme d'une session HTTP, etc. Je me suis demandé s'il était si mauvais que l'application entière utilise uniquement HTTPS.

Quelles sont les raisons contre et comment évalueriez-vous leur importance? Veuillez également mentionner:

  • Quelle est la performance perdue côté serveur (environ)?
  • Combien de performances puis-je perdre côté client?
  • Y a-t-il d'autres problèmes côté serveur / client?

5
2017-11-11 10:45


origine




Réponses:


Raisons contre: aucun. Internet est un réseau non sécurisé et doit être traité comme tel.
 A propos de la performance:
 Si votre cible de performance n'est pas <500 ms en 99% de temps, SSL n'est pas un goulot d'étranglement pour vous. La plupart du temps, il existe des améliorations de performances beaucoup plus avantageuses que l'activation de SSL.

Le plus gros sabot de performance pour la poignée de main HTTPS, mais vous pouvez le migrer de la manière suivante:
  - activer Keepalive
  - permettre la reprise de session TLS, ce qui minimise le coût de la cryptographie assimétrique, sans reprise de session client à chaque requête émettant un certificat (quelques kb / s) et le serveur doit procéder au déchiffrement RSA ...

Pour améliorer les performances côté client / serveur, il est plus important de réduire le nombre de demandes / réponses / compresser le contenu, etc.

Si vos logiciels serveur et client ne sont pas terriblement obsolètes, SSL ne devrait poser aucun problème, à l'exclusion de l'installation du certificat / de la chaîne de confiance sur le serveur et du renouvellement du certificat ...

Rappelez-vous que 99% des applications Web sont des E / S et non liées au processeur. SSL utilisera donc uniquement des cycles de processeur du serveur inutilisés.


13
2017-11-11 11:42



Absolument d'accord avec cela. Si les performances sont un problème avec SSL activé, cela doit être traité autrement, sans compromettre la sécurité des données utilisateur. - Rob Moir
@Robert L'alternative à l'utilisation de https sur l'ensemble du site serait le basculement de protocole sur http après la saisie de données confidentielles telles que le mot de passe. Cela compliquerait la programmation, mais ne compromettrait pas la sécurité des données des utilisateurs. - Joe
@ user54455 - Je comprends cela, mais je pense à toutes les données pouvant être stockées sur l'application, pas seulement aux informations de connexion. Je ne sais évidemment pas ce que fait votre application, mais si, par exemple, il s’agissait d’un outil de gestion de la relation client en ligne et d’une entreprise achetée, je ne me sentirais pas rassuré de savoir que le mot de passe de mon représentant commercial était crypté, mais mes ventes l'histoire comme leur le client n'était pas. - Rob Moir


Vous n'indiquez pas quelle méthode d'authentification vous utilisez. Si vous utilisez l’authentification de base, n'oubliez pas que les informations d'identification sont envoyées avec chaque demande jusqu'à la fermeture du navigateur. de toute façon, il n'y a donc aucun intérêt à basculer vers le bas.

Avec toute connexion SSL, le seul aspect lourd en termes de performances est l’établissement initial de la connexion. Une fois que le client et le serveur ont échangé leurs clés, le temps système est négligeable pour le client et le serveur. Il n’ya donc aucun inconvénient majeur à poursuivre la connexion SSL, sauf s’il s’agit d’un serveur très volumineux. Quel type de charge attendez-vous?


3
2017-11-11 11:42



Je ne connais pas très bien l’authentification de base, etc. Je sais juste que lors de la connexion, l’utilisateur et le mot de passe sont transmis à l’aide de la méthode POST et que les informations de la session sont stockées dans un cookie. Comment ça s'appelle? En ce qui concerne le volume, je ne m'attends pas à des charges extrêmes ni à des exigences extrêmes en matière de performances. Par conséquent, sur la base des réponses fournies, je suppose que SSL conviendra pour l'ensemble de mon site Web. - Joe
Effectivement. Si les performances ne sont pas une préoccupation, il suffit de rester avec SSL tout le chemin. Dans votre réponse à Robert, ci-dessus, gardez à l'esprit que, lorsque l'application est gérée par l'application, il s'agit alors du cookie de session, et non de l'utilisateur: informations de mot de passe mises en cache par le navigateur et envoyées à chaque demande. C'est toujours interceptable, mais la sécurité accrue provient du fait que le cookie de session va expirer après un bref délai (espérons-le) et devenir inutile pour un attaquant, ce qui réduit considérablement la fenêtre temporelle. - SmallClanger


D'accord avec SmallClanger et Kristaps.

Je n’ai aucun chiffre concernant l’impact sur les performances, mais je choisirais le protocole SSL complet (mot clé Firesheep). Je sais que de telles techniques d’attaque existent depuis des années, mais la prise de conscience est croissante et la seule solution réelle est le SSL intégral.


2
2017-11-11 12:44