我正在研究在完整的 https 中创建一个新站点的可能性,而不是在 https 中仅包含它的一部分,例如登录。这是基于最近的OWASP 报告中提供的指南
我正在寻找这种方法的优缺点?是的,我获得了安全感,但这样做会失去什么?所有的反馈都会很棒。
问问题
83 次
3 回答
1
完整的 https 有两个缺点。
- 加密的(非常轻微的)性能影响
- 无法从缓存代理中受益
对于现代系统,加密和会话设置的性能影响在今天确实不是问题。性能不再是不使用 https 的借口。
Http 代理无法缓存 https 页面或资产,这可以看作是好事或坏事。如果你依赖缓存来提高性能,那就不好了,它主要会影响页面资产,如脚本、css 和图像。不过,客户端缓存应该仍然有效。
完全 https 提供的更高的安全性、身份验证和客户信心远远超过了这些缺点。
于 2012-12-17T01:20:18.053 回答
0
金钱和速度。
您需要购买安全证书,如果您正在运行子域,则需要购买通配符安全证书(可能非常昂贵)。
与非 SSL (http) 相比,您的网站在 SSL (https) 上会更慢。
于 2012-12-17T01:22:00.797 回答
0
优点很明显: - 连接是安全的(这意味着机密且具有完整性)
中立: - https 不提供真实性(您仍然需要实现一些东西) - 所有更高级别也应该受到保护(如果连接是安全的,这并不意味着整个协议是安全的)
缺点: - 性能可能较慢 - 由于性能较慢,可用性可能会出现问题(我相信 DDoS https 网站更容易)。
于 2012-12-17T01:22:45.303 回答