Sitede SSL Kullanmayı Şimdi Zorluyor musunuz?


22

Edward Snowden'in gerçekleşmekte olan NSA gözetimi hakkındaki açıklamaları sayesinde, SSL'yi web sitesini güvenli bir şekilde görüntülemek için standart bir uygulama olarak kullanmaya başlayan web sitelerinin çoğunu görmeye başlıyorum.

Tüm web sitelerinin güvenlik, görüntüleme, ödemeler ve her yerde SSL kullanmasını sağlamak için web standardı yapmalı mıyız?

Basit bir kişisel blogum var ve NSA'nın konuyla ilgili görüşümü, kaygılarını ve fikirlerini dile getirdiğim için kullanmam gerektiğini söyleyen insanlar var ve HTTPS olmadan daha az güvende hissetmeye başladıklarını söylüyorlar ...


3
Yalnızca web’deki şifreli trafik miktarını artırmak için TLS’yi sunmayı düşünün, kötü niyetli kişilerin komplolu ve sıkıcı trafiği birbirinden ayırmalarını zorlaştırır.
Max Ried

Yanıtlar:


5

İlginç soru. Ancak, bariz cevap, tarayıcılı bir web sitesi alabilirsem, NSA da alabilir. Bu konuda şık bir pantolon olmaya çalışmıyorum. Hesap girişi, ödemeler vb. İçin SSL kullanılmalıdır. Normal bir çalışma şekli olarak gerekli değildir.

Bunu söylediğimde SSL'yi bu cevabın ima ettiğinden daha fazla destekliyorum. Blog yazarıysanız, SSL kullanmazdım. Belirli durumlarda bile özel olmak istediğiniz şeyleri söylüyorsanız, kimin göreceğini daha iyi kontrol edebilmek için göndermemeli veya bir girişin arkasına koymamalısınız.

Web'in açık bir iletişim aracı olduğunu unutmayın. Bu tasarım ve buna yöneliktir. Özel iletişim araçları, güvenli iletişim sağlamak için çok sayıda güvenlik şemasına bağlandığı ve bilgi paylaştığı kişilerle aynı fikirde değildir ve çoğu zaman konuşlandırmaktadır. Web, herhangi bir müşteriyle kolayca ve anonim olarak bağlanmak ve sahip olduğu bilgilerin tümünü veya neredeyse tamamını paylaşmak üzere tasarlanmıştır. Evet, web iletişimini bir noktaya kadar korumaya yönelik seçenekler var, ancak ne olduğuna bağlı olarak her zaman sınırlı olacak.


Bir nokta var. SSL Sertifikası, insanları

Tamam. Sana bir sır vereyim. Ben büyük telekomlar için yarı emekli bir danışmanım. Şifresini çözemediğimiz şifreli bir paket yoktu. Özel ekipman gerektiriyordu, ancak kolayca elde edilen ekipmandı. Snifferlarımız, çift şifreli iletişim de dahil olmak üzere şifreleme konusunda nadiren sorun yaşadı. Kuşkusuz bu günlerde zor olabilir. Aynı zamanda DoD çalışmalarına sahip bir Naval Intel'im. NSA, şifreli iletişiminize bakmak isterse, yapabileceklerinden eminim. Şimdi size genel olarak, bir teröristle konuşmadığınız sürece ne söylediğinizi umursamadıklarını söyleyeceğim.
Closetnoc

NSA'nın yaptıklarından hoşlanmadığımı söylemem gerektiğini ve bunun doğru olduğunu sanmadığımı söylemeliydim. O değil. Ayrıca trafik yükünün her şeye bakamayacaklarını ve deneyemeyeceklerini belirtmek isterim. İlk önce onlar için en önemli olan şey, herhangi bir paketi incelemeden önce şüpheli noktadan noktaya iletişimi sağlamak için paket başlık bilgisidir. Bu nedenle, blogunuza giden herhangi birinin Usame reenkarne edilmediği veya belki de kuzeni olmadığı sürece burnu çekilmeyecektir. (mizah)
14:35

Öyleyse SLL senin ve yeteneklerin olan herhangi biri tarafından tehlikeye atıldı, işte böyle. Bunu alıyorum ... Artı Edward Snowden'in Vahiyleri ve serbest bırakılan şey, söyledikleri zaman bizim hakkımızda her şeyi kaydetmeleri anlamına gelmiyor mu? Veya bu sızıntıları kendim için okumak, NSA'nın yaptıklarını ve yaptıklarını doğru değil mi?

Son birkaç soru için özür dilerim. Olan tüm bu olaylara bir anlam ifade etmeyen çok şey var.

6

HTTPS üç şeyi başarabilir:

  • Özgünlük . Gerçek etki alanı sahibiyle iletişim kurduğunuzdan emin olun.
  • Gizlilik . Yalnızca bu etki alanı sahibinin ve siz iletişimi okuyabildiğinizden emin olun.
  • Bütünlüğü . İçeriğin başkası tarafından değiştirilmediğinden emin olmak.

Muhtemelen herkes, sırları iletirken (şifreler, bankacılık verileri vb.) HTTPS'nin zorunlu olması gerektiğini kabul eder.

Ancak HTTPS kullanımının ve neden yararlı olabileceği birkaç başka durum daha vardır:

Saldırganlar istenen içeriğe müdahale edemezler.

HTTP kullanırken, gizli çalışanlar ziyaretçilerinizin web sitenizde gördükleri içeriği değiştirebilir. Örneğin:

  • İndirmek için sunduğunuz yazılıma kötü amaçlı yazılım dahil.
  • İçeriğinizin bir kısmını sansürleme. Fikir ifadelerinizi değiştirme.
  • Reklamları enjekte etmek.
  • Bağış hesabınızın verilerini kendisiyle değiştirmek.

Elbette bu, kullanıcılarınız tarafından gönderilen içerik için de geçerlidir, örneğin wiki düzenlemeleri. Ancak, kullanıcılarınız anonim ise, saldırgan bir kullanıcı olmayı "simüle edebilir" (saldırgan bir bot olmadığı ve etkili bir CAPTCHA engeli olmadığı sürece).

Saldırganlar istenen içeriği okuyamıyor.

HTTP kullanırken, gizli dinleme yapanlar, ana makinenizde ziyaretçilerinizin hangi sayfalara / içeriğe eriştiğini bilir. İçeriğin kamuya açık olmasına rağmen, belirli bir kişinin onu tükettiği bilgisi sorunludur:

  • Sosyal mühendislik için bir saldırı vektörü açar .
  • Gizliliği ihlal ediyor.
  • Sürveyans ve cezaya yol açabilir (hapis cezası, işkence, ölüm hakkı).

Elbette bu, kullanıcılarınız tarafından gönderilen içerikler için de geçerlidir, örneğin bir iletişim formu yoluyla gönderilen postalar için.


Bunların hepsi, HTTP’ye ek olarak HTTPS’yi sunmak, yalnızca kullandıklarını kontrol eden (veya yerel olarak uygulayan, örneğin HSTS ) kullanıcıları koruyacaktır . Saldırganlar, diğer tüm ziyaretçileri (savunmasız) HTTP değişkenini kullanmaya zorlayabilir.

Bu nedenle, HTTPS sunmak istediğiniz sonucuna varırsanız, uygulamayı zorlamayı düşünebilirsiniz (HTTP tarafından HTTPS'ye sunucu tarafı yönlendirme, HSTS başlığını gönderin).


1
Bilgi sitemi SSL’ye çevirmeme yardımcı olmak için reklamların yayınlanmasından kaçınmanız yeterli.
Bill Ruppert

4

Gizlilik

İçeriğiniz herkese açık olduğundan, HTTPS açıkça gizlemeyecektir, ancak sitenizin yapısına bağlı olarak bazı avantajlar sağlayabilir.

Gizlilik

Birisi HTTPS üzerinden bir sayfa talep ettiğinde, istek şifrelenir, böylece birileri ziyaretçilerinizi izliyorsa, hangi sayfaları istediklerini bilmezler. Ne yazık ki, DNS (web sitenizin etki alanı adına göre bir IP adresi alma sistemi) şifrelenmez, bu nedenle bir gözlemci web sitenizi kimin ziyaret ettiğini hala belirleyebilir. Bu şifreli olsa bile, çoğu durumda birisinin IP adreslerine dayanarak hangi web sitesini ziyaret ettiğini, internetin şu anki tasarımında gizlenemeyeceklerini söyleyebilirsiniz.

Vikipedi, herkese açık olduğunu düşündüğünüz HTTPS'yi sunar, çünkü içeriği herkese açıktır, ancak bunu yaparak kullanıcılarını korurlar: Birileri Vikipedi'de "yurtsever" şeyleri arıyorsa (HTTPS kullanarak), hükümeti hangi sayfaları bildiklerini söyleyemez. okuyorlar, sadece Wikipedia'dalar. Twitter, içeriğin genel olduğu başka bir durumdur, ancak insanlar mutlaka başkalarının üzerinde ne yaptığını bilmelerini istemez.

Şifre Güvenliği

HTTPS'yi göz önünde bulundurmak isteyebileceğiniz diğer önemli sebep, herhangi bir giriş sayfanız veya kullanıcılardan (kendiniz de dahil olmak üzere) özel verileri kabul ettiğiniz başka yerler varsa. HTTPS'yi hiç desteklemiyorsanız, şifreler ve diğer bilgiler "açık" olarak gönderilir ve ağ verilerini okuyabilen herhangi biri bunları görebilir (korkutucu durum, sizinle aynı wifi ağındaki diğer insanlardı; şimdi ayrıca şantaj malzemesi arayan çeşitli devlet kurumlarını da içeriyor).

Akıllı bir saldırgan, giriş sayfasındaki HTTPS'yi destekliyor ancak başka bir yerde desteklemiyorsanız, giriş sayfası dışındaki her sayfayı durdurur ve "Giriş" bağlantısını HTTPS kullanmayacak şekilde değiştirir, ardından iletişiminizi keser (ve bu sayfayı zorlarsanız HTTPS’ye göre, yalnızca trafiği engelleyebilir ve bunun işe yarayan sahte bir sürümünü sağlayabilir). Bunu, oturum açmadan önce URL çubuğunuzda her zaman bir kilit simgesi olup olmadığını kontrol ederek önleyebilirsiniz, ancak neredeyse hiç kimse bunu her zaman hatırlamaz.


3

Closetnoc'un puanlarıyla büyük ölçüde aynı fikirdeyim, ancak göz ardı edilen başka bir nokta daha var: Tor kullanıcılarının çıkış düğümlerinin gizlice dinlenmesini önlemek için SSL sürümüne ihtiyacı var .

Okuyucularınızın herhangi birinin Tor kullandığından şüpheleniyorsanız, pratik olarak SSL’yi etkinleştirmelisiniz.

Ayrıca, Max Reid'in noktasında +1: en azından kritik olmayan trafik için şifreleme kullanımını normalleştirmeye yardımcı oluyorsunuz, böylece istihbarat ajanslarının arzulanan paketleri tanımlamak için yapması gereken çabayı arttırıyorsunuz.


NSA'nın hayatını zorlaştırmak fikrini seviyorum. Ne yazık ki, her yönden hayatı zorlaştırabilir. Daha fazla CPU çevrimi, daha büyük veri aktarımı, daha fazla paket, daha yavaş aktarım hızı, vb. Tabii ki bu site başına sadece küçük bir damladır, ancak yeterli sayıda site ve NSA'nın yaptığı şeyden bağımsız olarak, gerçek bir probleminiz olabilir. Tut. NSA, 2016 yaklaşır yaklaşmaz kuyruğuna bir düğüm attı. Şu anda sadece $$ altında küçük bir ateş.
Closetnoc

4
@closetnoc TLS, aktarım boyutunu artırır,% 1 gibi? Ve herhangi bir yarı-modern CPU tüm kriptolarla başa çıkabiliyor bir web tarayıcısı atmayı düşünebilir. Sorun ne?
Matt Nordhoff

Katılıyorum. Ona küçük bir damla dedim. Belki de süper küçük bir damla gibi daha fazla. Ancak, yeterince küçük minik damlaların gerçekten çizgideki hayatı etkileyeceğinden şüpheleniyorum. Web'in kapsamını düşünün ve eğer herkes SSL'ye geçerse, bu hızlı bir şekilde sonuçlanabilir. Ağı indiremeyebilir, ancak etkinin emin olacağımı hissedecektim.
Closetnoc

1
@closetnoc Büyük bir şeyin% 1'i hala% 1'dir.
Matt Nordhoff

1
@closetnoc Tüm telcos sınırlı kapasiteye sahiptir. Hiçbir akıl hastanesi, limanlarını% 99'a yakın hiçbir yerde çalıştırmaz. (Bazı deliler Netflix'i zorlamak için uğraşıyorlar.) Olsalar, YouTube'da her yeni bir Justin Bieber müzik videosu çektiklerinde berbat ederlerdi.
Matt Nordhoff

3

SSL'nin kendisinin maliyeti dışında olmamak için gerçekten bir sebep yok.

Bir İçin tipik web sunucusu dağıtım SSL az yük ekler.

Şifrelemeyi zorunlu hale getirmek için http 2.0 standardı için görüşmeler var: http://beta.slashdot.org/story/194289

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.