it-roy-ru.com

Использовать или не использовать SSL? Зачем использовать SSL всегда?

Аргумент в пользу использования SSL заключается в том, чтобы не дать злоумышленнику, который прошел через попытки слежения за вашим трафиком, прочитать ваш трафик. Поэтому, хотя это может иметь смысл, если вы используете незащищенную беспроводную сеть (не WPA2) для использования SSL при входе в систему на своем банковском счете или предоставлении номера своей кредитной карты, мне трудно увидеть ее необходимость в более распространенных бизнес-случаях. 

Зачем вообще беспокоиться о SSL? (когда ваш клиент не будет находиться в незащищенной беспроводной сети)

Единственный способ, которым кто-то может отследить ваши конкретные HTTP-соединения и данные в них, - это если у них есть административный доступ к вашему маршрутизатору (и только в том случае, если есть какая-то возможность отслеживать/копировать трафик), установить какой-либо инструмент на вашем компьютере (конечно, регистратор ключей). в любом случае будет проходить SSL) или они будут контролировать вас у интернет-провайдера (для чего требуется ордер в большинстве юрисдикций).

Предупреждение об обновлении Некоторые юрисдикции не так свободны, как вы думаете, особенно в 1-м и 2-м мире, например в Великобритании правительство может вскоре не потребовать ордера: http://en.wikipedia.org/wiki/Communications_Data_Bill_2008 который, вероятно, повлечет за собой способность читать веб-сайты такими, какими они были исторически (то есть расшифровывать SSL) и американские «Закон о патриотизме» http://en.wikipedia.org/wiki/US_Patriot_Act#Title_II:_Surveillance_procedures

Более того:

  • Принятие SSL-соединений на стороне сервера добавляет значительную нагрузку, поскольку установление соединения требует значительных ресурсов процессора (во время генерации секретных ключей).
  • Публично доверенные SSL-сертификаты должны периодически приобретаться у третьих лиц 

UPDATE: Я на самом деле использую SSL, хотя я подумал, что стоит все равно задать вопрос. Конечно, я думаю, что время SSL не нужно. Может быть, это можно превратить в вики сообщества о плюсах и минусах SSL? Если так, как?

Кажется, в ответах ниже часто встречается миф: «кто-то между вами и сервером может вас подслушать» ... 

  • Это невозможно в Интернете, так как низкоуровневые TCP маршрутизаторы только пересылают пакеты туда, куда они должны идти, и даже в одном и том же сеансе могут маршрутизироваться по разным маршрутам, и никто не может смотреть на эти пакеты, кроме как в крайнем случае. дела - технически или законно ..
  • Что касается кого-то из интернет-провайдера, который смотрит на ваш трафик, я удивляюсь, почему они сигнализируют вам и смотрят на «столь важные данные», которые, без сомнения, им скучны, это также незаконно без ордера.
  • В вашей локальной сети (кроме беспроводной), если вы не используете концентратор динозавров, который транслирует каждый пакет, невозможно прослушать чужой трафик - это невозможно, потому что аппаратное обеспечение просто не отправляет вам пакеты, даже если у вас есть ваша сетевая карта в беспорядочном режиме и использует такой инструмент, как Snort или Wireshark.

Пассивное отравление ARP - это один из способов прослушивания, но оно должно быть сделано изнутри и должно быть обнаружено, когда конфликты имен и т.д. Начнут происходить, и часто шлюз по умолчанию будет статическим, поэтому это будет v. Трудно, потому что шлюз по умолчанию будет включен до вас ,.

20
anon

SSL следует использовать везде, где вы передаете информацию, которая не должна быть общедоступной. Очень опасно полагать, что никто не слушает трафик между вашим компьютером и удаленным сервером.

Все, что нужно для отслеживания трафика, - это быть в вашей сети - им не нужен доступ администратора к вашему маршрутизатору. Без использования SSL для конфиденциальных коммуникаций один компьютер с вирусом на компьютере коллеги - это все, что нужно для кражи вашей личности.

Интернет-провайдер также имеет доступ ко всему сетевому трафику - насколько вы доверяете его специалистам?

Дорогой пользователь, 

Мы решили против шифрование нашего интернет-трафика потому что мы просто не думаем, что это важный. Мы решили, что это действительно слишком сложно контролировать интернет трафик, так что если кто-то действительно готовы пойти на это усилие, ну они заслуживают всех данных, которые могут получить их руки. Если вы используете старый стиль роутера, есть испорченный IT сотрудники и/или сотрудники, или кто-то просто не любит тебя и решает .__ украсть ваши данные, мы принимаем нет ответственность.

Мы не советуем вам никому рассказывать о нашем решении, так как это привлечет нежелательное внимание к нашему IP-трафику.

С наилучшими пожеланиями,

Достаточно хорошее программирование

Отказ от ответственности: Если вы хакер и наткнулись на это сообщение во время мониторинга IP-трафика, мы вежливо указываем, что то, что вы делаете, является незаконным, и просим вас сделать вид, что вы его никогда не видели.

42
Greg Sansom

Проблема в том, что использование, скажем, WPA2 только защищает соединение между вашим компьютером и маршрутизатором. Существует большая часть незащищенной сети между маршрутизатором и пунктом назначения - это дизайн интернета. Вы не знаете, кто идет по пути, и там может быть любое количество злых (или просто любопытных) слушателей. Они могут даже не находиться в вашей юрисдикции, поэтому предотвращение подслушивания может оказаться невозможным.

SSL дает вам зашифрованный туннель вплоть до другого конца.

Если вы говорите о локальной сети небольшой компании, где трафик не покидает внутреннюю сеть, то, конечно же, не беспокойтесь о SSL, если не хотите. Но если что-то чувствительное проходит через Интернет, тогда вы действительно хотите использовать SSL, чтобы никто не видел его. Все дело в том, насколько важна информация.

Следует помнить, что многие веб-сайты используют файлы cookie для запоминания информации для входа в систему. Если эти куки ходят по Интернету в открытом виде, то взломать сессию довольно тривиально - подумайте FireSheep. Таким образом, вы должны быть очень осторожны с тем, что вы считаете «конфиденциальной» информацией. Учитывая, что многие бизнес-приложения перемещаются на удаленные серверы (я думаю, молодые называют это «облаком»), это не является второстепенной проблемой.

Короче говоря, используйте SSL, если есть что-то, что вы не хотите, чтобы кто-либо еще видел, проходя через сеть, которая не полностью находится под вашим контролем.

5
Cameron Skinner

SSL обеспечивает аутентификацию и шифрование.

Is несколько трудно MITM для незашифрованного соединения, но не так сложно для незашифрованной беспроводной сети, которую вы привели в качестве примера. Любая сеть, которая позволяет вам подделывать ARP (многие коммутируемые проводные сети), также позволяет использовать MITM. Но вы забываете о каждом роутере по пути. Помните несколько месяцев назад, когда (надеюсь) плохо настроенный маршрутизатор в Китае маршрутизировал значительную, хотя и относительно небольшую, часть интернет-трафика? Они могли видеть твой открытый текст. Так могут и другие клиенты по кабельной сети и тд.

Но SSL также обеспечивает аутентификацию. Если я получу от вас закрытый ключ для действующего сертификата SSL, я чертовски уверен, что вы тот, кем вы себя называете - вдвойне, если это компетентный центр сертификации.

Но большая проблема - вы, кажется, не совсем понимаете SSL, поэтому я бы посоветовал вам не принимать решение так или иначе самостоятельно - по крайней мере, до тех пор, пока вы не прочитаете больше. SSL не не требует, чтобы вы генерировали новый ключ каждый запрос, и на самом деле не будет работать, если он это сделал. Кроме того, любой относительно новый компьютер может одновременно обрабатывать тысячи запросов SSL - алгоритмы очень быстрые. Кроме того, вы можете использовать ускорители шифрования, которые переносят работу на выделенную часть оборудования.

Если вы считаете, что вам может нужно использовать SSL для защиты некоторых данных, и часто, если вы этого не делаете, причин для избежания этого почти нет. Да, есть некоторые расходы, но любые данные о последствиях стоят $ 300 в год.

РЕДАКТИРОВАТЬЯ прочитал ваш комментарий - это клиентское приложение? Решение в вашем случае, вероятно, заключается в использовании самозаверяющих ключей, и вы можете распространять открытый ключ вместе с приложением. Это позволяет вам шифровать и проверять, что вы говорите с тем, кем вы должны быть.

3
Robert

Я не думаю, что каждому веб-сайту нужен SSL, если вы используете его, но есть случаи, когда вы хотите иметь возможность аутентифицировать пользователя без использования SSL.

Я создал (javascript-> Perl) случайную хэш-аутентификацию одноразового использования для этой цели.

http://www.furiousgryphon.com/jauthenticatedemo.html

https://github.com/thomasoeser/jAuthenticate

1
Thomas Oeser

Общее понимание, возможно, изменилось за последние восемь лет. Этот сайт дает хороший ответ:

https://doesmysiteneedhttps.com/

Даже когда не передаются «конфиденциальные» данные, SSL предотвращает внедрение содержимого страницы.

0
Oliver Kohll