В чем преимущество принудительного загрузки сайта через SSL (HTTPS)?

Предположим, у меня есть большой контент-сайт; нет входа или выхода из системы, нет имен пользователей, нет адресов электронной почты, нет защищенной зоны, ничего секретного на сайте, нада. Люди просто заходят на сайт и переходят со страницы на страницу и просматривают контент.

Помимо небольшого сбоя в SEO от Google ( very незначительный, из того, что я прочитал), есть ли какая-либо польза от принудительной загрузки сайта через HTTPS?

53 голоса | спросил Eric 8 J000000Friday16 2016, 12:44:02

12 ответов


83

HTTPS не просто предоставляет секретность (из которых вы сомневаетесь в ценности , хотя для этого есть веские причины), но также подлинность , которая всегда имеет значение , Без него вредоносная точка доступа /маршрутизатор /ISP /и т. Д. может переписать любую часть вашего сайта, прежде чем отображать ее пользователю. Это может включать:

  • объявления для ваших конкурентов
  • вставлять объявления или раздражать виджетов, которые заставляют ваш сайт выглядеть плохо и вредить вашей репутации
  • вводят эксплойты для выполнения загрузки вредоносных программ на компьютер посетителя, который затем (правильно!) обвиняет вас в том, что это происходит.
  • замена загрузок программного обеспечения с вашего сайта теми, у которых есть вредоносная программа.
  • снижение качества ваших изображений
  • удаление частей вашего сайта, которые они не хотят видеть, например. вещи, которые конкурируют со своими услугами или изображают их в плохом свете.
  • и др.

Невозможность защитить ваших пользователей от этих вещей безответственна.

ответил R.. 8 J000000Friday16 2016, 18:46:46
25
  

«ничего не секрет на сайте»

... В соответствии с вы . Там будет очень хорошая причина, по которой кто-то хочет безопасное соединение. Он (частично) создает конфиденциальность:

  

Мой администратор может видеть, что я просматривающий некоторые изображения сайта на моем телефоне через URL, но он не может сказать, если я смотрю фото симпатичных кошек или хардкор порно. Я бы сказал, что это хорошая чертовски хорошая конфиденциальность. «контент» и «контент» могут иметь огромное значение в мире. â € Agent_L

Вы могли бы подумать, что это ничтожно, или, может быть, сейчас это не очень важно, но может быть в другой момент времени. Я твердо убежден, что никто, кроме меня и веб-сайта, не должен точно знать, что я делаю.

Он создает доверие. Наличие замка является признаком безопасности, и это может означать некоторую степень мастерства в отношении веб-сайта и, следовательно, ваших продуктов.

Это делает вас менее мишенью, например. Атаки MitM. Безопасность увеличивается.

С такими инициативами, как Давайте зашифруем , что значительно упростит и бесплатно , не так много недостатков. В настоящее время мощность процессора, используемая SSL, в настоящее время незначительна.

ответил Martijn 8 J000000Friday16 2016, 15:09:34
12

Вы получаете поддержку HTTP /2 , новый веб-стандарт, разработанный для значительно улучшить скорость загрузки веб-сайтов .

Поскольку производители браузеров выбрали для поддержки HTTP /2 только через HTTPS, включение HTTPS (на сервер, который поддерживает HTTP /2) - это единственный способ получить это обновление скорости.

ответил user2428118 9 J000000Saturday16 2016, 12:18:31
10

(Части, взятые из моего ответа на аналогичный вопрос.)


HTTPS может достичь двух вещей:

  • Аутентификация . Убедитесь, что посетитель общается с владельцем реального домена.
  • Шифрование . Убедившись, что только этот владелец домена и посетитель могут прочитать их сообщение.

Вероятно, все согласны с тем, что HTTPS должен быть обязательным при передаче секретов (например, паролей, банковских данных и т. д.), но даже если ваш сайт не обрабатывает такие секреты, есть несколько других случаев, когда и почему использование HTTPS может быть полезным .

Атакующие могут не вмешиваться в запрошенный контент.

При использовании HTTP, подслушивающие устройства могут манипулировать содержимым, которое ваши посетители видят на вашем веб-сайте. Например:

  • Включая вредоносное ПО в программное обеспечение, которое вы предлагаете загрузить (или если вы не предлагаете загрузки программного обеспечения, злоумышленники начинают это делать).
  • Цензурирование вашего контента. Изменение выражений мнений.
  • Ввод рекламы.
  • Замена данных вашей учетной записи пожертвований на их собственные.

HTTPS может предотвратить это.

Атакующие не могут прочитать запрошенный контент.

При использовании HTTP, eavesdroppers могут узнать, какие страницы /содержимое на вашем хосте имеют ваши посетители. Хотя сам контент может быть общедоступным, знание, которое потребляет его конкретный человек, может быть проблематичным:

  • Он открывает вектор атаки для социальной инженерии .
  • Это нарушает конфиденциальность.
  • Это может привести к наблюдению и наказанию (вплоть до тюремного заключения, пыток, смерти).

Это, конечно, зависит от характера вашего контента, но то, что кажется безвредным для вас содержанием, может быть интерпретировано другими сторонами другими способами.

Лучше быть в безопасности, чем сожалеть. HTTPS может предотвратить это.

ответил unor 9 J000000Saturday16 2016, 00:42:37
6

Это предотвращает людей в средних атаках, которые заставляют вас думать, что вы посещаете свой сайт, но представляете страницу, которая на самом деле принадлежит другой, и может попытаться получить от вас информацию. Поскольку данные зашифрованы, это также затрудняет для злоумышленника манипулирование страницей, как вы ее видите.

Поскольку вам нужен сертификат SSL, который проверяет, что вы являетесь владельцем сайта, как минимум, предоставляя хотя бы некоторую проверку того, кто вы.

ответил Rob 8 J000000Friday16 2016, 15:44:00
3

Маркетинговые фирмы, такие как Hitwise, оплачивают интернет-провайдеры для сбора данных о вашем сайте, когда вы не используете SSL. Собираются данные о вашем сайте, о которых вы, возможно, не знаете своих конкурентов:

  • демографические данные пользователя
  • Статистика посетителей
  • популярные страницы
  • ключевые слова поисковой системы (хотя с «не предоставленными» это в настоящее время не так важно)
ответил Stephen Ostermiller 8 J000000Friday16 2016, 19:04:59
3

И, чтобы добавить еще одну вещь ко всем ответам, я просто расскажу о задержке . . Похоже, что об этом никто не писал.

Наличие низкой клиентской задержки HTTP-сервера имеет решающее значение для создания быстродействующих, отзывчивых веб-сайтов.

Только TCP /IP имеет трехстороннее рукопожатие (для первоначальной настройки соединения для простого HTTP через TCP требуется 3 пакета). Когда используется SSL /TLS, настройка соединения более активна, что означает, что латентность для новых соединений HTTPS неизбежно выше, чем HTTP открытого текста.

Проблема с HTTP заключается в том, что она небезопасна. Поэтому, если у вас есть конфиденциальные данные, вам нужна определенная форма безопасности. Когда вы вводите что-то в свой веб-браузер, начиная с «https», вы просите ваш браузер использовать уровень шифрования для защиты трафика. Это обеспечивает разумную защиту от подслушивающих устройств, но проблема в том, что она будет медленнее. Поскольку мы хотим зашифровать наш трафик, будут задействованы некоторые вычисления, которые добавляются к времени. Это означает, что если вы неправильно разработали свою систему, ваш сайт будет казаться вялым для пользователей.

В заключение:

  

У меня есть большой контент-сайт; нет входа или выхода из системы, нет имен пользователей,   нет адресов электронной почты, нет безопасной зоны, ничего секретного на сайте, нада.   Люди просто заходят на сайт и переходят со страницы на страницу и смотрят на   содержание.

Если это так, я не буду использовать SSL вообще. Я хотел бы иметь свою страницу, когда вы нажмете ее, чтобы она открылась за одну секунду. Это из-за пользовательского опыта. Вы делаете, как хотите, я просто не ставил сертификаты на все, что я делаю. В этом конкретном случае я бы не использовал его вообще.

ответил Josip Ivic 14 J000000Thursday16 2016, 18:17:14
1

Помимо преимуществ, упомянутых другими, есть одна причина, по которой вы переключитесь на SSL, если вам не нравятся ваши посетители, которые используют Chrome - новые версии Chrome (начиная с конца года, насколько я помните) покажут предупреждение (которое вытеснит пользователей с вашего сайта) по умолчанию для всех сайтов, которые не используют HTTPS.

//EDIT:

Вот ссылки на два более подробных статьи, хотя я не могу найти тот, который я читал, когда планируют официально представить эту функцию:

https: //motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-unencrypted-chrome-https

http://www.pandasecurity.com/mediacenter /безопасность /веб-сайты, которые-Арент-с помощью HTTPS-/

ответил Sledge Hammer 8 J000000Friday16 2016, 23:17:03
1

Простой ответ: нет веской причины не для . Раньше были аргументы в пользу использования SSL, где это абсолютно необходимо (например, на сайтах электронной коммерции, которые собирают платежные реквизиты).

В основном это связано с процедурой установки SSL-сертификатов, стоимостью, дополнительной нагрузкой на веб-сервер и ограничениями сети - в то время, когда у людей не было широкополосного доступа и т. д. Ни одна из этих причин не применяется в 2016 году.

Что касается SEO, мы знаем, что цель большинства поисковых систем - обеспечить наилучшие результаты для своих пользователей, и это можно сделать, предоставив им безопасное соединение с сайтом, который они просматривают. В этом отношении поисковым системам не важно, есть ли «чувствительные» данные на сайте (либо представлены, либо собраны); это просто случай, если сайт обслуживается через HTTPS, любые потенциальные риски аутентификации и шифрования значительно сведены к минимуму, поэтому сайт будет считаться «лучше», чем эквивалентный сайт без HTTPS.

По сути, это так просто и просто реализовать, в настоящее время это считается лучшей практикой. Как веб-разработчик, я просто рассматриваю установку SSL-сертификата, а затем принудительное выполнение всех запросов по HTTPS (очень простое использование .htaccess или эквивалент) как стандартную часть любого сайта или веб-приложения, которое я создаю.

ответил Andy 11 J000000Monday16 2016, 18:54:49
1

В дополнение к другим ответам браузеры должны (как в RFC 2119) отправить заголовок User-Agent. Он предоставляет достаточную информацию о том, какую платформу использует пользователь, если он отправляет фактический User-Agent. Если Eve может подслушивать запрос, сделанный Алисой, и Алиса отправляет фактический User-Agent, Ева будет знать, какую платформу использует Алиса, если Алиса не установит соединение с сервером Eve. С такими знаниями будет легче взломать компьютер Элис.

ответил v7d8dpo4 12 J000000Tuesday16 2016, 04:30:52
1

У вас есть два варианта защиты вашего основного домена (mysite.com) и его поддоменов (play.mysite.com и test.mysite.com). SSL не только для электронной коммерции, сайтов торговых торговцев, где финансовые транзакции или учетные данные для входа используются на веб-сайте. Это так же важно для контент-ориентированного веб-сайта. Атакующие всегда ищут простой веб-сайт HTTP или лазейку на веб-сайте. SSL не только обеспечивает безопасность, но и аутентифицирует ваш сайт. Основным преимуществом использования SSL на веб-сайте на основе контента является то, что

  • Вы можете избежать атаки «человек в середине», которая может изменить содержимое сайта.

  • Кроме того, ваш сайт будет иметь подлинность, которая уведомляет посетителей о том, что их информация будет защищена, если они будут размещены на веб-сайте.

  • Они получают уверенность в подлинности веб-сайта.

  • Кроме того, ваш сайт будет свободен от инъекций вредоносных объявлений, эксплойтов, нежелательных виджетов, замены программного обеспечения и вреда веб-страницам, как только вы получите SSL на своем веб-сайте.

  • Сертификат SSL предлагает статическое уплотнение сайта, которое может быть размещено на любой веб-странице для гарантии, и клиенты могут щелкнуть печать, чтобы узнать подробности установленного SSL-сертификата.

ответил Jason Parms 21 J000000Thursday16 2016, 16:23:20
1

В других ответах говорилось о преимуществах HTTPS. Может ли пользователь принудительный использовать HTTPS? По двум причинам:

  • Если вы даете пользователям возможность не использовать HTTPS, они, вероятно, этого не сделают, тем более, что в большинстве браузеров по умолчанию используется http: //, а не https: //при вводе домена в адресной строке.
  • Используя как безопасную версию, так и небезопасную версию, вы увеличиваете поверхность атаки соединения. Вы даете злоумышленникам возможность выполнить понижающую атаку , даже если вы считаете, что используете безопасную версию .
  • Если вы перенаправляете каждый URL http: //на эквивалентный https: //, это упрощает жизнь администратора и поисковых систем. Никто не должен беспокоиться о том, являются ли ссылки http: //и https: //эквивалентными или предназначены для обозначения совершенно разных вещей, перенаправляя друг друга, всем понятно, какие URL-адреса должны использоваться.
ответил Flimm 27 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowTue, 27 Sep 2016 18:08:24 +0300 2016, 18:08:24

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132