मैं वेब सुरक्षा के लिए नया हूं।HTTPS?
क्यों मैं HTTP उपयोग करने के लिए और फिर कुछ कनेक्शन के लिए HTTPS करने के लिए स्विच करना चाहेगा?
क्यों HTTPS के साथ सभी तरह से चिपकना नहीं है?
मैं वेब सुरक्षा के लिए नया हूं।HTTPS?
क्यों मैं HTTP उपयोग करने के लिए और फिर कुछ कनेक्शन के लिए HTTPS करने के लिए स्विच करना चाहेगा?
क्यों HTTPS के साथ सभी तरह से चिपकना नहीं है?
वहाँ दिलचस्प विन्यास सुधार कि SSL/TLS कम खर्चीला बना सकते हैं, इस दस्तावेज़ में वर्णित के रूप में कर रहे हैं (जाहिरा तौर पर आधारित on work from a team from Google: एडम लैंगली, नागेन्द्र Modadugu और वान-तेह चांग): http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html
अगर वहाँ एक है मुद्दा यह है कि हम करना चाहते हैं दुनिया के लिए संवाद, यह उस SSL/TLS नहीं computationally महंगा किसी भी अधिक है। दस साल पहले यह सच हो सकता है, लेकिन यह अभी मामला नहीं है। आप भी अपने उपयोगकर्ताओं के लिए HTTPS सक्षम कर सकते हैं।
इस वर्ष जनवरी (2010) में, जीमेल डिफ़ॉल्ट रूप से सब कुछ के लिए HTTPS का उपयोग करने के लिए स्विच किया गया। पहले यह एक विकल्प के रूप में पेश किया गया था, लेकिन अब अपने सभी उपयोगकर्ताओं के HTTPS का उपयोग अपने ब्राउज़र और गूगल, हर समय के बीच उनके ईमेल को सुरक्षित करने के। करने के लिए हमें इसे अतिरिक्त मशीनों और कोई विशेष हार्डवेयर नहीं तैनात करना पड़ा। हमारी उत्पादन दृश्यपटल मशीनों पर, SSL/TLS की कम से कम 1% के लिए खातों सीपीयू लोड, स्मृति कनेक्शन और नेटवर्क भूमि के ऊपर के 2% से कम प्रति की 10KB से कम है। कई लोगों का मानना है कि SSL CPU समय और हम ऊपर नंबर ( पहली बार के लिए सार्वजनिक) आशा का एक बहुत लेता है कि दूर करने के लिए मदद मिलेगी।
आप पढ़ बंद कर देते हैं अब आप केवल जरूरत है एक बात याद रखें: SSL/TLS computationally किसी भी अधिक महंगा नहीं है।
एक सुरक्षा की झूठी भावना जब केवल HTTPS प्रवेश पृष्ठों के लिए उपयोग कर कि आप दरवाजा सत्र अपहरण (वैसे, यह वैसे भी स्पष्ट में नाम/पासवर्ड भेजने की तुलना में बेहतर है) के लिए खुला छोड़ दें; इसने हाल ही में फायरशेप का उपयोग करके (या अधिक लोकप्रिय) करना आसान बना दिया है (हालांकि समस्या स्वयं बहुत अधिक समय तक रही है)।
एचटीटीपीएस को धीमा कर सकते हैं एक और समस्या यह तथ्य है कि कुछ ब्राउज़र HTTPS पर पुनर्प्राप्त सामग्री को कैश नहीं कर सकते हैं, इसलिए उन्हें उन्हें फिर से डाउनलोड करना होगा (उदा। साइट्स के लिए पृष्ठभूमि छवियां जिन्हें आप अक्सर देखते हैं)।
यह कहा जा रहा है कि, यदि आपको परिवहन सुरक्षा की आवश्यकता नहीं है (हमलावरों को आदान-प्रदान करने वाले डेटा को देखने या बदलने के लिए रोकना), सादा HTTP ठीक है।
HTTPS बहुत धीमी हो सकती है, और छवियों जैसी चीज़ों के लिए अनावश्यक हो सकती है।
अधिकतर प्रदर्शन कारणों से। एसएसएल को अतिरिक्त (सर्वर) CPU समय की आवश्यकता है।
संपादित करें: हालांकि, इस भूमि के ऊपर इन दिनों एक समस्या के कम होता जा रहा है, कुछ बड़े साइटों को पहले से ही HTTPS-प्रति-डिफ़ॉल्ट में स्विच (जैसे जीमेल - ब्रूनो के जवाब देखें)।
आप डेटा है कि सुरक्षित होने की जरूरत है संचारण नहीं कर रहे हैं, HTTPS के ऊपरी आवश्यक नहीं है।
मतभेदों की एक विस्तृत विस्तृत चर्चा के लिए इस SO धागे को जांचें। HTTP vs HTTPS performance
और न कम महत्वपूर्ण बात यह है। फ़ायरवॉल, यह मत भूलना कि आमतौर पर पोर्ट 443 पर लागू HTTPS। कुछ संगठनों में ऐसे पोर्ट फ़ायरवॉल या पारदर्शी प्रॉक्सी में कॉन्फ़िगर नहीं किए जाते हैं।
एसएसएल कनेक्शन कौन ब्लॉक करेगा? – xj9
बहुत रोचक सामग्री! धन्यवाद! –
क्लाउडेंट, जीमेल और लिनोड पूरे ऐप के लिए एचटीटीपीएस का उपयोग कर कुछ ऐप्स हैं। मुझे लगता है कि मेरे लिए ऐसा करना ठीक है, फिर आगे और पीछे स्विच करना :) – ajsie
एचटीटीपीएस कम्प्यूटेशनल रूप से महंगा नहीं है लेकिन वेब प्रदर्शन पर सीमित कारक सीपीयू नहीं है और न ही अधिकांश मामलों में बैंडविड्थ - इसकी विलंबता - और एचटीटीपीएस कम से कम एक अतिरिक्त बल प्रत्येक कनेक्शन के लिए राउंड-ट्रिप - और चूंकि माइक्रोसॉफ्ट का एसएसएल का कार्यान्वयन हर किसी से अलग होता है, जिसका आमतौर पर हर अनुरोध के लिए होता है। – symcbean