Encryption 仅在登录时使用ssl?还是整个网站?
我目前正在为一家公司建立一个基于网络的文件上传/下载中心,该公司希望以一种简单的方式向客户发送文件 我的问题是站点的哪些部分确实需要SSL加密。只加密登录表单,而不加密站点的其他部分(如文件传输过程)是否是一种良好的做法 这些员工中的一些人在外国酒店工作,那里的线路嗅探器很常见。我肯定要SSL的登录形式只是为了保护某人从窃取登录信息和删除文件或其他东西。但是,由于文件不敏感(此系统上从未使用过敏感文件),与SSL相关的速度成本是否会严重影响上载/下载速度Encryption 仅在登录时使用ssl?还是整个网站?,encryption,ssl,Encryption,Ssl,我目前正在为一家公司建立一个基于网络的文件上传/下载中心,该公司希望以一种简单的方式向客户发送文件 我的问题是站点的哪些部分确实需要SSL加密。只加密登录表单,而不加密站点的其他部分(如文件传输过程)是否是一种良好的做法 这些员工中的一些人在外国酒店工作,那里的线路嗅探器很常见。我肯定要SSL的登录形式只是为了保护某人从窃取登录信息和删除文件或其他东西。但是,由于文件不敏感(此系统上从未使用过敏感文件),与SSL相关的速度成本是否会严重影响上载/下载速度 谢谢你的意见 我会加密任何有“敏感”数据
谢谢你的意见 我会加密任何有“敏感”数据的东西 对于您要传输的文件,可以是任何内容,从员工姓名到客户,或者简单的电子邮件地址 这些东西应该永远是安全的 其他任何东西都不需要安全
规则因情况而异,但任何与个人信息/金钱有关的内容都应始终是安全的。任何要求用户进行身份验证的请求都应通过HTTPS提供。换句话说,任何包含会话标识符的请求都必须加密 在身份验证期间,大多数系统设置cookie以在后续请求中标识用户。如果会话标识符通过未加密的通道发送,中间的人可以窥探它,就像他们可以窥探密码一样。如果它们包含此被盗会话标识符,服务器将无法区分攻击者伪造的请求与实际用户的请求
与其他操作相比,SSL的开销通常较小,即使如此,它主要还是在SSL握手的密钥协商阶段。对于大多数请求,可以通过确保服务器设置为使用SSL会话来避免这种情况。SSL会话允许在后续请求中跳过协商。您已经对登录进行了SSL加密,因此反对对整个站点进行SSL加密的唯一理由是可能会影响请求服务速度
如果你正在开发一种对速度不太敏感的应用程序,那么仅仅保护整个网站并没有多大危害。好处(任何敏感数据都是SSL的)超过了成本,true,永远不知道员工将在文件中放入什么。对于apache,上一段提到的优化由
SSLSessionCache