सबसे पहले, मुझे यह मानने दो कि मुझे HTTPS के बारे में क्या पता है वह बहुत ही प्राथमिक है। मुझे सत्र सुरक्षा, एन्क्रिप्शन, या उन चीज़ों में से किसी एक के बारे में बहुत कुछ नहीं पता है।100% HTTPS साइट के पेशेवर और विपक्ष क्या हैं?
मुझे क्या पता है कि वेब सुरक्षा महत्वपूर्ण है; एक्सएसएस, सीएसआरएफ, और डेटाबेस इंजेक्शन की डरावनी कहानियां बार-बार पॉप-अप होती हैं। मुझे पता है कि इस तरह के शोषण के खिलाफ एक निवारक रुख एक प्रतिक्रियाशील से बेहतर है।
लेकिन इस प्रश्न के लिए प्रेरणा एक अलग दृष्टिकोण से आता है। मैं ऐसी साइट पर काम करता हूं जो नियमित रूप से उपयोगकर्ताओं से भुगतान स्वीकार करता है। जाहिर है, भुगतान एक सुरक्षित चैनल (HTTPS) पर भेजे जाते हैं। मैं मुख्य रूप से साइट के सीएसएस, एचटीएमएल, और जावास्क्रिप्ट पर काम करता हूं। मुझे जो बताया गया है वह है कि एचटीटीपीएस पर कॉल करने से पहले सीएसएस, जावास्क्रिप्ट और छवि फ़ाइलों को डुप्लिकेट करना आवश्यक है। तो मान मैं निम्न फ़ाइलें हैं:
- सीएसएस/global.css
- js/global.js
- छवियों/
- logo.png
- bg.png
जिस तरह से मैं इसे समझता हूं, इन फ़ाइलों को डुप्लिकेट करने की आवश्यकता है इससे पहले कि वे HTTPS में "जोड़ा" जा सकें। तो एक फ़ाइल या तो सुरक्षा (HTTPS) के तहत हो सकती है या नहीं।
यदि यह सत्य है, तो यह एक बड़ा बाधा है। यहां तक कि सबसे छोटी साइट में, फाइलों को डुप्लिकेट करने में यह एक बड़ा दर्द होगा और फिर जब भी आप सीएसएस या जेएस परिवर्तन करते हैं तो उन्हें बनाए रखना होगा। स्पष्ट रूप से यह HT12PS में सब कुछ स्थानांतरित करके इसे कम किया जा सकता है।
तो मैं क्या जानना चाहता हूं, एचटीटीपीएस के पीछे पूरी तरह से साइट के पेशेवरों और विपक्ष क्या हैं? क्या यह ध्यान देने योग्य ओवरहेड का कारण बनता है? क्या पूरी साइट को एन्क्रिप्शन के तहत रखना मूर्खतापूर्ण है? क्या उपयोगकर्ता अपनी संपूर्ण यात्रा के दौरान अपने ब्राउज़र में "सुरक्षित" अधिसूचनाओं को सुरक्षित महसूस करेंगे? और अंतिम लेकिन कम से कम नहीं, क्या यह वास्तव में make for a more secure site है? HTTPS क्या सुरक्षा कर सकते हैं?
देखें कि मैं क्या मंच आप उपयोग कर रहे पता नहीं है, लेकिन आईआईएस दुनिया में इसे करने के लिए * एक ही मैप करने के लिए आम है * साइट दोनों 80 * और * 443 यह कोई शाब्दिक दोहराव का मतलब । फिर कोड के भीतर आप यह लागू कर सकते हैं कि कुछ निश्चित पृष्ठ केवल HTTPS के माध्यम से पहुंच योग्य हैं। –
यह ध्यान दिया जाना चाहिए कि एसएसएल (या ["टीएलएस"] (http://en.wikipedia.org/wiki/Transport_Layer_Security) का उपयोग करके इसे आजकल कहा जाता है) XSS, CSRF, या डेटाबेस इंजेक्शन भेद्यता के विरुद्ध नहीं रोकेगा –
हाल ही में , सुरक्षा समुदाय में एक सम्मानित (कम से कम मेरे द्वारा) व्यक्ति से प्रासंगिक ब्लॉग प्रविष्टि: http://steve.grc.com/2010/10/28/why-firesheeps-time-has-come/ – Fantius