由于爱德华·斯诺登(Edward Snowden)对正在发生的国家安全局(NSA)监视的启示,我开始看到大多数网站现在开始将SSL用作安全查看该网站的标准做法。

我们应该这样做吗?一种网络标准,使所有网站都可以使用SSL进行安全性,查看,付款以及在任何地方?

我拥有一个简单的个人博客,而且有人说我需要使用它,因为我要为自己的声音发声关于NSA的观点,担忧和想法,他们说如果没有HTTPS,他们的安全感就会开始降低。

评论

考虑提供TLS只是为了增加Web上的加密流量,这使恶意人员更难以区分阴谋和无聊的流量。

#1 楼

有趣的问题。但是,显而易见的答案是,如果我可以使用浏览器获得一个网站,那么NSA也可以。我不是想成为一个聪明人。 SSL应该用于帐户登录,付款等。作为正常的工作过程,没有必要。

话虽如此,我确实比这个答案所暗示的更多地支持SSL。如果您是博客作者,那么我不会使用SSL。如果您说的是即使在某些情况下也希望保密的内容,则不应发布或将其放在登录后以更好地控制谁能看到它。

请记住,网络是开放的通信工具。它是为此而设计的。专用通信工具与谁连接并与谁共享信息并不混杂,并且经常部署许多安全方案以确保安全的通信。 Web旨在轻松匿名地与任何客户端连接,并共享其拥有的全部或几乎所有信息。是的,有一些方法可以确保网络通信的安全,但是由于其本质,将始终受到限制。

评论


你确实有一点。 SSL证书可防止他们窥探并把人们列入访问者的“清单”,因为我说的是实话,正在分析他们的行为并将其扑向地狱,然后为此而回击……

–user37204
2014年3月24日5:44

好的。我会让你秘密的。我是主要电信公司的半退休顾问。没有加密的数据包,我们无法解密。它需要专用设备,但很容易获得设备。我们的嗅探器很少会遇到包括双重加密通信在内的加密问题。诚然,这些日子可能会更难。同时,我在海军海军部之前也从事过国防部的工作。我敢肯定,如果NSA希望查看您的加密通信,则可以。现在,我将告诉您,通常来说,只要您不与恐怖分子交谈,他们就不会在乎您在说什么。

– closetnoc
2014年3月24日5:51

我想到我应该说我不喜欢国家安全局正在做的事情,我也不认为这是对的。它不是。我也确实要指出,流量负担是如此之大,以致他们无法看清一切,也不会尝试。对于他们来说,最重要的首先是数据包头信息,以便在检查任何数据包之前建立可疑的点对点通信。因此,除非是Osama转世或他的表弟,否则访问您博客的任何人都不会被嗅探。 (幽默)

– closetnoc
2014年3月24日在5:59

然后,您和任何有技能的人都会损害SLL,这就是我采取的方式...再加上Edward Snowden的启示录,发布的内容并不表示他们在录制关于我们的一切时,说的是?还是自己为国家安全局做过和正在做的这些泄漏是不准确的?

–user37204
2014年3月24日在6:01

对不起最后几个问题。发生的所有这些事情中,只有很多没有意义。

–user37204
2014年3月24日6:02

#2 楼

HTTPS可以实现三件事:



真实性。确保您正在与真实的域所有者进行通信。

机密性。确保只有该域所有者和您才能阅读通信。

完整性。确保内容不会被他人修改。

每个人都可能同意在传输机密(例如密码,银行数据等)时必须使用HTTPS。

但是在其他一些情况下,为什么使用HTTPS有益呢?

攻击者无法篡改请求的内容。

使用HTTP时,窃听者可以操纵访问者在您的网站上看到的内容。例如:


在您提供的下载软件中包含恶意软件。
检查部分内容。更改您的意见表达方式。
注入广告。
将捐赠帐户的数据替换为自己的信息。

当然,这也适用于用户发送的内容Wiki编辑。但是,如果您的用户是匿名用户,则无论如何攻击者都可以“模拟”为用户(除非攻击者是机器人,并且存在一些有效的验证码障碍)。

攻击者无法读取请求的内容。

使用HTTP时,窃听者可以知道访问者可以访问主机上的哪些页面/内容。尽管内容本身可能是公开的,但是特定人消费的知识是有问题的:


它为社会工程学打开了一个攻击载体。
它侵犯了隐私。
它可能导致监视和惩罚(最高刑罚,监禁,酷刑,死亡)。

当然,这也适用于用户发送的内容,例如通过联系表发送邮件。


综上所述,仅提供除HTTP之外的HTTPS只会保护检查(或在本地实施,例如使用HSTS)使用他们的用户。攻击者可能会迫使所有其他访问者使用(脆弱的)HTTP变体。

因此,如果您得出结论要提供HTTPS,则可能需要考虑实施它(服务器端重定向来自HTTP到HTTPS,发送HSTS标头)。

评论


仅仅避免注入广告就足以让我将信息站点切换为SSL。

–比尔·鲁伯特(Bill Ruppert)
15年1月4日在4:27

#3 楼

保密

由于您的内容是公开的,因此HTTPS显然不会隐藏它,但是根据您网站的性质,它可能会带来一些好处。

隐私

当某人通过HTTPS请求页面时,该请求将被加密,因此,如果某人在监视您的访问者,他们将不知道他们请求了哪些页面。不幸的是,DNS(用于根据您的网站域名获取IP地址的系统)未加密,因此观察者仍可以识别谁访问了您的网站。即使已将其加密,在大多数情况下,您仍然可以根据IP地址判断某人正在访问哪个网站,而这不能隐藏在Internet当前的设计中。

Wikipedia提供HTTPS,您可以认为没有意义是因为内容是公开的,但是这样做可以保护用户:如果某人在Wikipedia上使用HTTPS查找“非爱国”内容,则他们的政府无法分辨他们正在阅读的页面,只是在Wikipedia上。 Twitter是内容本身是公开的另一种情况,但是人们不一定希望其他人知道他们在做什么。

密码安全性

另一个主要问题您可能要考虑使用HTTPS的原因是,如果您有任何登录页面或其他可以接受用户(包括您自己)的私人数据的地方。如果您根本不支持HTTPS,则密码和其他信息将以“明文”方式发送,并且任何可以读取网络数据的人都可以看到它们(以前的情况很可怕,因为其他人与您位于同一wifi网络上;现在它还包括寻找勒索材料的各种政府机构。

如果您仅在登录页面上支持HTTPS,但不支持其他任何位置,那么聪明的攻击者将拦截除登录页面之外的所有页面,并将“登录”链接更改为不使用HTTPS,然后拦截您的通信(如果您强制该页面到HTTPS,他们可以拦截流量并提供有效的伪造版本)。您可以通过在登录之前始终检查URL栏中的锁定图标来防止这种情况的发生,但是几乎没人记得每次都这样做。

#4 楼

我在很大程度上同意Closetnoc的观点,但是还有一个要点被忽略了:Tor用户需要SSL版本以防止出口节点被窃听。

如果您怀疑任何读者使用Tor,则应从实际出发启用SSL。

此外,就Max Reid而言,+ 1:至少,可以帮助规范化对非关键流量的加密使用,从而增加情报机构为识别所需数据包而需要付出的努力。

评论


我确实喜欢增加国家安全局生活的想法。不幸的是,这可能使生活变得更加艰难。更多的CPU周期,更大的数据传输,更多的数据包,更慢的传输速率等。当然,这只是每个站点的微小滴滴,但是足够的站点和您可能有一个真正的问题,更不用说NSA在做什么。坚持,稍等。一旦2016年临近,国家安全局的尾巴就会打结。现在,在他们的a $$之下只是小火。

– closetnoc
2014年3月24日15:32

@closetnoc TLS增加了传输大小,例如1%?任何半现代的CPU都可以处理Web浏览器认为可以扔给它的所有加密货币。有什么问题?

–马特·诺德霍夫(Matt Nordhoff)
2014年3月24日15:50

我同意。我称它为小滴。也许这更像是滴水。但是我怀疑足够的超细微滴确实会影响生命。考虑一下网络的范围,如果每个人都迁移到SSL,那将很快增加一点。它可能不会减少网络,但我确信效果会得到缓解。

– closetnoc
2014年3月24日15:55

@closetnoc大事情的1%仍然是1%。

–马特·诺德霍夫(Matt Nordhoff)
2014年3月24日在16:22

@closetnoc所有电信公司都具有有限的容量。没有理智的电信公司在99%左右的地方运行其端口。 (不过,有几个疯狂的人确实在勒索Netflix。)如果这样做的话,每次YouTube上出现新的贾斯汀·比伯音乐录影带时,他们都会被搞砸。

–马特·诺德霍夫(Matt Nordhoff)
2014年3月24日16:50

#5 楼

除了SSL本身的成本外,确实没有理由不这样做。

对于典型的Web服务器部署,SSL几乎不会增加开销。

有关于使加密强制性的http 2.0标准:http://beta.slashdot.org/story/194289