19

私の最近のいくつかのプロジェクトには、製品/サービスを販売し、ユーザーがクレジット カード情報などを入力する「チェックアウト」プロセスを必要とする Web サイトが含まれていました。明らかに、セキュリティのためにSSL証明書を取得し、顧客に安心感を与えています. ただし、その微妙な点については少しわかりません。最も重要なのは、Web サイトのどの部分で証明書を「使用」する必要があるかについてです。

たとえば、ホームページにアクセスした瞬間に https が入力される Web サイト (主に銀行サイト) に行ったことがありますが、最終的にチェックアウトするときにのみ https が入力される Web サイトもあります。銀行レベルで何かを扱っていないのに、ウェブサイト全体を https で実行するのはやり過ぎですか? チェックアウトページだけを https にする必要がありますか? 全力を尽くすことによるパフォーマンスへの影響は何ですか?

4

10 に答える 10

14

私は個人的に「SSL from go to woe」に賛成です。

ユーザーがクレジット カード番号を入力しない場合は、SSL はありません。

しかし、Cookie のリプレイからの固有のセキュリティ リークの可能性があります。

  1. ユーザーがサイトにアクセスし、Cookie が割り当てられます。
  2. ユーザーがサイトを閲覧し、データをカートに追加します (Cookie を使用)
  3. ユーザーは Cookie を使用して支払いページに進みます。

ここで問題が発生します。特に支払い交渉を自分で処理する必要がある場合はなおさらです。

非セキュア ドメインからセキュア ドメインに情報を送信し、保護の保証なしで再度送信する必要があります。

安全な場合と同じ Cookie を非安全な場合に共有するようなばかげたことをすると、一部のブラウザー (当然のこと)はセキュリティのために Cookie を完全に削除する (Safari) ことに気付くかもしれません。 、彼らはそれを偽造してセキュアモードで使用して、素晴らしいSSLセキュリティを0に低下させ、カードの詳細が一時的にでもセッションに保存された場合、危険なリークが発生するのを待っています.

あなたのソフトウェアがこれらの弱点を抱えていないことを確信できない場合は、最初から SSL をお勧めします。そうすれば、最初の Cookie は安全に送信されます。

于 2008-09-20T11:25:14.997 に答える
8

サイトが公開用である場合は、おそらく公開部分を HTTP に配置する必要があります。これにより、スパイダーやカジュアルなユーザーにとって物事がより簡単かつ効率的になります。HTTP リクエストは、HTTPS よりもはるかに高速に開始できます。これは、特に画像が多いサイトでは明らかです。

ブラウザーには、HTTPS とは異なる HTTPS のキャッシュ ポリシーがある場合もあります。

ただし、ログオンしたらすぐに、または直前に HTTPS に入れても問題ありません。サイトがパーソナライズされ、非匿名になった時点で、それ以降は HTTPS にすることができます。

ログオン ページ自体やその他のフォームに HTTPS を使用することをお勧めします。これにより、情報を入力する前に南京錠を使用できるようになり、気分が良くなります。

于 2008-09-20T07:56:57.350 に答える
5

私は常にウェブサイト全体でそれを行ってきました。

于 2008-09-21T18:02:44.953 に答える
4

私もずっと HTTPS を使用します。これはパフォーマンスに大きな影響を与えず (ブラウザは最初の接続後にネゴシエートされた対称キーをキャッシュするため)、スニッフィングから保護します。

スニッフィングは、(ハブを使用するネットワークとは対照的に) 他人のトラフィックをキャプチャするために特別な努力をしなければならない完全にスイッチされた有線ネットワークのために、かつては消えつつありました。ブロードキャスト メディアは、トラフィックが暗号化されていない限り、セッション ハイジャックを容易にします。

于 2008-09-20T12:03:21.020 に答える
3

私たちの組織には、アプリケーションの3つの分類があります-

  • ビジネスへの影響が少ない-PII、クリアテキストストレージ、クリアテキスト送信、アクセス制限なし。
  • 中程度のビジネスへの影響-電子メールアドレスなどの非トランザクションPII。クリアテキストストレージ、データセンターからクライアントへのSSL、データセンターのクリアテキスト、制限付きストレージアクセス。
  • ビジネスへの影響が大きい-SSN、クレジットカードなどのトランザクションデータ。データセンター内外のSSL。暗号化および監査されたストレージ。監査されたアプリケーション。

これらの基準を使用して、データのパーティション化、およびサイトのどの側面でSSLが必要かを判断します。SSLの計算は、サーバー上で、またはNetscalerなどのアクセラレータを介して行われます。PIIのレベルが上がると、監査と脅威のモデリングの複雑さも増します。

ご想像のとおり、LBIアプリケーションを使用することをお勧めします。

于 2008-09-20T08:04:20.190 に答える
3

経験則としては、機密情報が送信される可能性のある場所では SSL を強制することだと思います。例: 私は Wescom Credit Union のメンバーです。フロント ページに、オンライン銀行口座にログオンできるセクションがあります。したがって、ルート ページは SSL を強制します。

次のように考えてみてください。機密性の高い個人情報は送信されますか? ある場合は、SSL を有効にします。そうでなければ、あなたは大丈夫なはずです。

于 2008-09-20T07:56:52.563 に答える
1

通常、機密データや個人データを送信する場合は、SSLを使用する必要があります。たとえば、バスケットにアイテムを追加する場合、SSLはおそらく必要ありません。ユーザー名/パスワードでログインするか、CCの詳細を入力する場合は暗号化する必要があります。

于 2008-09-20T07:59:45.830 に答える
0

フルhttpsサイトには大きな欠点が1つあり、それは速度ではありません(それで問題ありません)。

安全でない警告なしにYoutubeや「いいね」ボックスなどを実行するのは非常に難しいでしょう。

私たちは完全に安全なウェブサイトを運営しており、2年間買い物をしていますが、これが最大の欠点です。YouTubeを機能させることができましたが、「これを追加」は依然として大きな課題です。そして、彼らがプロトコルに何かを変更した場合、それは私たちのすべてのYoutube映画が空白である可能性があります...

于 2011-09-19T08:19:23.747 に答える
0

SSLはかなり計算量が多いため、可能であれば大量のデータを送信するために使用しないでください。したがって、ユーザーが機密情報を送信するチェックアウト段階で有効にすることをお勧めします。

于 2008-09-20T07:58:13.120 に答える
0

ユーザーが機密情報を入力する必要がある場合にのみ、サイトを SSL にリダイレクトします。個人情報やクレジットカードの詳細をページに入力する必要があるとすぐにショッピングカートを使用して、SSLページにリダイレクトします. サイトの残りの部分については、おそらく必要ありません-彼らがあなたのコマースサイトで情報/製品を表示しているだけなら.

于 2008-09-20T07:56:53.687 に答える