我正在考虑创建一个全面采用https的新站点,而非只将登录等部分内容采用https。这是基于最近一份OWASP报告提供的指南。
我想了解这种方法的优缺点。是的,可以提高安全性,但这样做会失去什么呢?期待您的反馈。
3个回答
1
全面采用https有两个缺点:
- 加密的(微小)性能影响
- 无法从缓存代理中受益
在现代系统中,加密和会话设置的性能影响今天真的不是问题。性能不再是不使用https的借口。
Http代理无法缓存https页面或资源,这可能被视为好事或坏事。如果您依赖缓存来提高性能,则这是不好的,它主要影响页面资产,如脚本、CSS和图像。但客户端缓存仍应有效。
这些缺点远远被全面采用https所提供的增强安全性、身份验证和客户信心所抵消。
- Andrew Cooper
4
谢谢。代理是什么意思?我读过浏览器会像HTTP一样缓存HTTPS。 - amateur
@业余爱好者,想象一下你在公司防火墙后面连接到网络时使用的代理。它们被允许为整个公司缓存内容以节省带宽。由于它们无法访问缓存控制头,因此显然无法正确地缓存HTTPS内容。 - millimoose
代理缓存是主要的缺点。这意味着使用CDN等是不可能的,因此图像和其他纯静态内容(脚本库等)仍应保持http。 - Eli Algranti
这意味着使用CDN等是不可能的。你能解释一下为什么会这样吗? - amateur
0
金钱和速度。
您需要购买安全证书,如果您正在运行子域名,则需要投资于通配符安全证书(可能相当昂贵)。
与非SSL(http)相比,您的网站在SSL(https)上会变慢。
- Usman Saleem
2
从研究来看,性能损失非常小。 - amateur
单个连接的性能影响微乎其微,但几千个连接的累积效应可能会导致服务器的 CPU 负载很重(通常仅用于提供数据服务时不会出现这种情况),因为它需要加密所有传出数据。这可能会导致 HTTPS 比 HTTP 更容易受到 DDoS 攻击(如另一个答案中所述)。此外,请注意,有可用的 HTTPS 硬件加速器卡以缓解这种情况... - Scott Earle
0
优点显而易见: - 连接是安全的(这意味着它具有机密性和完整性)
中立: - https不提供真实性(您仍然需要实现某些内容) - 所有更高级别也应该得到保护(如果连接是安全的,这并不意味着整个协议都是安全的)
缺点: - 性能可能会变慢 - 由于性能较慢,可用性可能会出现问题(我认为更容易对https网站进行DDoS攻击)。
- Victor Ronin
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接