我正在开发一个 Web 服务:供其他 Heroku 应用程序使用的 Heroku 插件。提供服务的服务器和所有 Heroku 应用程序在 Amazon EC2 中运行。我的服务应该通过 HTTPS 提供还是不必要的过度杀伤?什么是常见的做法?
我担心 HTTPS 性能过热和更复杂的客户端代码(客户端需要管理密钥来验证服务身份)。中间人攻击似乎还需要破坏 Amazon 基础设施,这将提供许多其他方式来破坏服务,即使流量是加密的。
问问题
62 次
1 回答
1
使用 HTTPS在现代硬件上增加了不到 1%的额外 CPU 开销。
中间人攻击不需要破坏亚马逊基础设施。它可以发生在客户端和服务器之间的任何地方。仅仅因为 AWS 的基础设施本身是安全的,并不意味着您在他们的云中预置的资源是安全的。
我的服务应该通过 HTTPS 提供还是不必要的过度杀伤?什么是常见的做法?
没有更多细节,很难推荐任何东西。您的 API 是返回随机猫图片还是存储医疗记录?SSL 正变得越来越普遍。如果您甚至正在考虑它,那么很有可能这是一个合理的想法。
于 2013-01-02T16:12:28.080 回答