Forza l'utilizzo di SSL sul sito ora?


22

Sto iniziando a vedere la maggior parte dei siti Web che iniziano a utilizzare SSL come una pratica standard per visualizzare il sito Web in modo sicuro ora grazie alle rivelazioni di Edward Snowden sulla sorveglianza della NSA che sta accadendo.

Dovremmo renderlo uno standard web per fare in modo che tutti i siti Web utilizzino SSL per sicurezza, visualizzazione, pagamenti e ovunque?

Possiedo un semplice blog personale e ho persone che dicono che devo usarlo perché esprimo la mia opinione, i miei dubbi e le mie idee sull'argomento della NSA, e dicono che stanno iniziando a sentirsi meno sicuri senza HTTPS ...


3
Prendi in considerazione l'offerta di TLS solo per aumentare la quantità di traffico crittografato sul Web, rendendo più difficile per le persone maligne distinguere il traffico cospirativo e noioso.
Max Ried il

Risposte:


5

Domanda interessante. Tuttavia, la risposta ovvia sarebbe se posso ottenere un sito Web con un browser, quindi anche la NSA può ottenerlo. Non sto cercando di essere un furbo-pantaloni su questo. SSL dovrebbe essere usato per l'accesso all'account, pagamenti, ecc. Come un normale corso di lavoro, non è necessario.

Detto questo, supporto SSL più di quanto questa risposta implichi. Se sei un blogger, allora non userei SSL. Se stai dicendo cose che vuoi private anche in determinate circostanze, non dovresti pubblicarlo o metterlo dietro un login per controllare meglio chi lo vede.

Ricorda che il Web è un veicolo di comunicazione aperto. È design e orientato a questo. I veicoli di comunicazione privati ​​non sono promiscui con chi si connette e condividono informazioni e spesso implementano numerosi schemi di sicurezza per garantire comunicazioni sicure. Il web è progettato per connettersi facilmente e anonimamente con qualsiasi client e condividere tutte o quasi tutte le informazioni che ha. Sì, ci sono opzioni per proteggere le comunicazioni Web fino a un certo punto, tuttavia, sarà sempre limitato a causa della natura di ciò che è.


Hai un punto. Il certificato SSL impedisce loro di ficcare il naso e mettere le persone in un "elenco" per essere un visitatore perché sto dicendo la verità e analizzando le loro azioni e facendole

Va bene. Ti farò conoscere un segreto. Sono un consulente semi-pensionato per le principali telecomunicazioni. Non esisteva un pacchetto crittografato che non è stato possibile decrittografare. Richiedeva attrezzature speciali, ma era attrezzature facilmente ottenibili. I nostri sniffer raramente hanno avuto problemi con la crittografia, comprese le comunicazioni a doppia crittografia. In questi giorni potrebbe essere più difficile, certamente. Inoltre, sono antecedente all'Intel navale con lavoro DoD. Sono sicuro che se l'NSA vuole esaminare le tue comunicazioni crittografate, può farlo. Ora ti dirò che in genere non si preoccupano di quello che stai dicendo finché non parli con un terrorista.
closetnoc,

Mi è venuto in mente che dovrei dire che non mi piace ciò che la NSA sta facendo, né penso che sia giusto. Non è. Voglio anche sottolineare che il carico di traffico è tale che non possono guardare a tutto né tenterebbero. Ciò che è probabilmente più importante per loro in primo luogo sono le informazioni sull'intestazione del pacchetto per stabilire comunicazioni punto a punto sospette prima di esaminare qualsiasi pacchetto. Pertanto, chiunque andrà sul tuo blog non sarà probabilmente fiutato se non si reincarnerà Osama o forse suo cugino. (umorismo)
closetnoc,

Quindi SLL è compromesso da te e da chiunque abbia le tue capacità, ecco come lo sto prendendo ... Inoltre le rivelazioni di Edward Snowden e ciò che è stato rilasciato non significa che registrano tutto di noi, quando dice che lo sono? O leggere queste perdite per me stesso di ciò che l'NSA ha fatto e che sta facendo non è accurato?

Ci scusiamo per le ultime domande. C'è solo molto che non ha senso con tutte queste cose che stanno accadendo.

6

HTTPS può ottenere tre cose:

  • Autenticità . Assicurati di comunicare con il vero proprietario del dominio.
  • Riservatezza . Assicurati che solo questo proprietario di dominio e tu possa leggere la comunicazione.
  • Integrità . Assicurarsi che il contenuto non venga modificato da qualcun altro.

Probabilmente tutti concordano sul fatto che HTTPS dovrebbe essere obbligatorio quando si trasmettono segreti (come password, dati bancari ecc.).

Ma ci sono molti altri casi in cui e perché l'uso di HTTPS può essere utile:

Gli aggressori non possono manomettere il contenuto richiesto.

Quando si utilizza HTTP, gli intercettatori possono manipolare il contenuto che i visitatori vedono sul tuo sito web. Per esempio:

  • Incluso malware nel software offerto per il download.
  • Censurare alcuni dei tuoi contenuti. Cambiare le tue espressioni di opinione.
  • Iniezione di annunci pubblicitari.
  • Sostituendo i dati dell'account delle donazioni con i propri.

Ovviamente ciò vale anche per i contenuti inviati dai tuoi utenti, ad esempio le modifiche wiki. Tuttavia, se i tuoi utenti sono anonimi, l'utente malintenzionato potrebbe "simulare" di essere comunque un utente (a meno che l'attaccante non sia un bot e vi sia una barriera CAPTCHA efficace).

Gli aggressori non possono leggere il contenuto richiesto.

Quando si utilizza HTTP, gli intercettatori possono sapere a quali pagine / contenuti dell'host accedono i visitatori. Sebbene il contenuto stesso possa essere pubblico, la conoscenza che una persona specifica lo consuma è problematica:

  • Apre un vettore di attacco per il social engineering .
  • Violi la privacy.
  • Può condurre a sorveglianza e punizione (fino alla reclusione, tortura, morte).

Ovviamente ciò vale anche per i contenuti inviati dai tuoi utenti, ad esempio le e-mail tramite un modulo di contatto.


Detto questo, offrire semplicemente HTTPS oltre a HTTP proteggerebbe solo gli utenti che controllano (o applicano localmente, ad esempio con HSTS ) che lo stanno utilizzando. Gli aggressori potrebbero costringere tutti gli altri visitatori a utilizzare la variante (vulnerabile) HTTP.

Quindi, se giungi alla conclusione che vuoi offrire HTTPS, potresti prendere in considerazione la possibilità di applicarlo (reindirizzamento lato server da HTTP a HTTPS, invia intestazione HSTS).


1
È sufficiente evitare l'iniezione di annunci pubblicitari per farmi passare il mio sito di informazioni su SSL.
Bill Ruppert il

4

Segretezza

Poiché i tuoi contenuti sono pubblici, HTTPS ovviamente non li nasconderà, ma potrebbe offrire alcuni vantaggi a seconda della natura del tuo sito.

vita privata

Quando qualcuno richiede una pagina su HTTPS, la richiesta viene crittografata, quindi se qualcuno sta guardando i tuoi visitatori, non sapranno quali pagine hanno richiesto. Sfortunatamente, il DNS (il sistema per ottenere un indirizzo IP basato sul nome di dominio del tuo sito Web) non è crittografato, quindi un osservatore potrebbe ancora identificare chi visita il tuo sito Web. Anche se questo era crittografato, nella maggior parte dei casi si potrebbe ancora dire quale sito Web qualcuno sta visitando in base agli indirizzi IP, che non può essere nascosto nel design attuale di Internet.

Wikipedia offre HTTPS, che potresti ritenere inutile perché il contenuto è pubblico, ma in questo modo proteggono i loro utenti: se qualcuno sta cercando cose "non patriottiche" su Wikipedia (usando HTTPS), il loro governo non può dire a quali pagine stai leggendo, solo che sono su Wikipedia. Twitter è un altro caso in cui il contenuto stesso è pubblico, ma le persone non vogliono necessariamente che altre persone sappiano cosa stanno facendo.

Sicurezza password

L'altro motivo principale che potresti voler considerare HTTPS è se hai pagine di accesso o altri luoghi in cui accetti dati privati ​​dagli utenti (incluso te stesso). Se non supporti affatto HTTPS, le password e altre informazioni verranno inviate "in chiaro", e chiunque sia in grado di leggere i dati di rete potrà vederli (il caso spaventoso era di solito altre persone sulla stessa rete wifi di te; ora include anche varie agenzie governative alla ricerca di materiale ricatto).

Se supporti HTTPS solo nella pagina di accesso, ma non altrove, un malintenzionato malintenzionato intercetterà ogni pagina tranne la pagina di accesso e cambierà il link "Accesso" per non utilizzare HTTPS, quindi intercetterà la tua comunicazione (e se imponi quella pagina a HTTPS, possono semplicemente intercettare il traffico e fornirne una versione falsa che funziona). Puoi impedirlo controllando sempre l'icona di un lucchetto nella barra degli URL prima di accedere, ma quasi nessuno si ricorda di farlo ogni volta.


3

Sono in gran parte d'accordo con i punti di Closetnoc, ma c'è un altro punto che è stato trascurato: gli utenti Tor hanno bisogno di una versione SSL per evitare che i nodi di uscita vengano intercettati .

Se sospetti che qualcuno dei tuoi lettori usi Tor, dovresti avere abilitato SSL per pratica.

Inoltre, +1 sul punto di Max Reid: per lo meno, aiuti a normalizzare l'uso della crittografia per il traffico non critico, aumentando così lo sforzo che le agenzie di intelligence devono esercitare per identificare i pacchetti desiderabili.


Mi piace l'idea di rendere più difficile la vita della NSA. Sfortunatamente, può rendere la vita più difficile per tutti. Più cicli di CPU, trasferimenti di dati più grandi, più pacchetti, velocità di trasferimento più lente, ecc. Naturalmente questo è solo un piccolo gocciolamento per sito, ma abbastanza siti e potresti avere un vero problema per non parlare di ciò che sta facendo l'NSA. Resisti. Non appena il 2016 si avvicinerà, l'NSA avrà un nodo nella coda. In questo momento è solo un piccolo incendio sotto i loro $ $$.
closetnoc,

4
@closetnoc TLS aumenta le dimensioni del trasferimento, cosa, come, l'1%? E qualsiasi CPU semi-moderna può gestire tutte le criptovalute che un browser Web può pensare di lanciare. Qual è il problema?
Matt Nordhoff,

Sono d'accordo. L'ho chiamato una flebo. Forse è più simile a una flebo super piccola. Ma sospetto che abbastanza gocciolamenti super piccoli avranno davvero effetto sulla vita lungo la linea. Pensa all'ambito del Web e se tutti migrassero verso SSL, ciò si aggiungerebbe in fretta. Potrebbe non abbattere la rete, ma l'effetto sarebbe sentito ne sono sicuro.
closetnoc,

1
@closetnoc 1% di una cosa importante è ancora 1%.
Matt Nordhoff,

1
@closetnoc Tutte le telecamere hanno una capacità limitata. Nessun telco sano gestisce i loro porti in qualsiasi luogo vicino al 99%. (Tuttavia, molti pazzi fanno estorsione a Netflix.) Se lo facessero, verrebbero fottuti ogni volta che un nuovo video musicale di Justin Bieber viene pubblicato su YouTube.
Matt Nordhoff,

3

Non c'è davvero un motivo per non farlo, a parte il costo dello stesso SSL.

Per una tipica distribuzione di server web SSL aggiunge poco overhead.

Ci sono colloqui per lo standard http 2.0 per rendere obbligatoria la crittografia: http://beta.slashdot.org/story/194289

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.