Security 为什么';默认情况下,不是所有web流量都使用https进行加密吗?(或加密的http)
可能重复:Security 为什么';默认情况下,不是所有web流量都使用https进行加密吗?(或加密的http),security,http,https,Security,Http,Https,可能重复: 为什么使用加密进行安全通信的概念与用https确认网站的身份有关?难道所有的web用户都不会从使用256位密钥加密http流量中获益吗 有很多网站使用http传输用户的登录名/密码,可以窥探。用户不太了解如何避开所有这些弱站点,并且经常对弱安全站点和强安全站点使用相同的凭据。(有些网站,如Twitter,甚至没有明确说明在您登录时使用https,它们确实使用https,但您很难从它们的主页上看出没有加载https。) 在http上使用https会对性能造成轻微影响,但它是否足以平衡
为什么使用加密进行安全通信的概念与用https确认网站的身份有关?难道所有的web用户都不会从使用256位密钥加密http流量中获益吗 有很多网站使用http传输用户的登录名/密码,可以窥探。用户不太了解如何避开所有这些弱站点,并且经常对弱安全站点和强安全站点使用相同的凭据。(有些网站,如Twitter,甚至没有明确说明在您登录时使用https,它们确实使用https,但您很难从它们的主页上看出没有加载https。)
在http上使用https会对性能造成轻微影响,但它是否足以平衡所有用户的web通信安全带来的好处?我认为https和扩展https验证对于让用户知道他们在和谁打交道非常有用。但是,即使您不知道自己在和谁打交道,或者不需要那么信任他们,让http流量更难监视,难道不会提高所有用户的整体安全性吗?销售SSL证书是一项大生意。很多很多网站也不需要这种安全性
坦率地说,我不认为最大的安全问题是人们窥探普通http流量。这当然是一个问题,但更重要的是有人窃取用户数据库和/或客户端上的蠕虫/病毒。如果坏人拥有你银行的数据库,Https对你没有帮助。你忘记了使用SSL的第二点。它的目的是验证您是否将数据发送给您真正认为自己是谁 如果每个人都开始使用SSL,它将失去第二个功能点(除非每个运行站点的人都从可信机构购买了SSL证书并得到验证……在这种情况下,每个人都将不得不为该站点支付更多的费用)
EV(扩展验证)证书的情况更是如此。它们不一定比普通证书更安全,但购买它们的验证过程要严格得多,能够颁发证书的供应商也更少。SSL证书可能非常昂贵。当然,您可以对证书进行自签名,但现在几乎所有浏览器都会在几天内提醒您自签名证书(无论如何,使用自签名证书是一种糟糕的做法)
此外,始终不需要使用https。例如,下载文件并不是您通常希望通过https完成的事情,因为这只是无用的开销。应该需要https,你不应该仅仅因为你可以而使用它。不要忘记浏览器通常不会缓存通过https获得的任何内容-如果默认使用,页面加载速度会变慢,带宽使用率会上升 看起来这是不正确的-我的观察是基于我从未见过缓存内容的银行网站,但显然这是由于常规HTTP缓存控制头
另请参见对类似问题的回答我可以想到的几个原因:
我可以看出在网络上有两种安全“模式”是多么有用:一种是频道安全,即使你可能在尼日利亚与骗子交谈;另一种是安全的,你知道你在与谁交谈,但我不确定这是否值得。首先,如果你不知道你在和谁说话,那就不太安全,而且我也不确定每天的互联网用户是否能够,或者是否会花时间去注意和使用这种区别。我认为最好只有一个“安全”的浏览表单,让人们知道,当他们看到这一点时,他们就可以开始了
就性能而言,这只是一个小小的打击,但随着计算机性能的提高,这一打击将持续上升(随着计算机速度的提高,使用密钥解码RSA加密和素因子大数变得越来越容易,因此计算机性能和密钥长度需要一起提高)。但是,看看亚马逊。我要说的是,他们知道自己在做什么,他们已经决定不希望SSL在任何不需要的地方出现,并且已经尽了最大努力,只将其用于帐户和订单相关活动。但是,重复。在某种程度上,我很高兴情况并非如此,因为我在工作中不得不依靠刮擦和嗅探来寻找合法的原因,但你仍然有一个正确的观点+1实际上,在大多数网络上,中间人攻击并不比纯粹的窃听攻击难多少。未证明端点身份的加密受MITM约束。因此,没有身份验证的加密并不是完全没有意义,但也不值得兴奋。在我看来,这不是一个重复,因为这个问题也询问了加密比https弱的有用性。由于浏览器默认设置,使用自签名证书是一种不好的做法。使用它们实际上比使用HTTP更安全,但不提供身份验证,并且易受中间人攻击的影响。我同意戴维的观点。自签名证书应仅由浏览器指示为不安全连接,而不是强制