128 votes

Malfist avatar

Pourquoi ne pas utiliser HTTPS pour tout?

Demandé el 30 de Avril, 2010
Quand la question a-t-elle été
12579 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Si j'ai été la mise en place d'un serveur, et avait le certificat SSL(s), pourquoi n'aurais-je pas utiliser le protocole HTTPS pour l'ensemble du site au lieu de juste pour les achats/connexions? Je pense que cela aurait plus de sens, juste pour chiffrer l'ensemble du site, et de protéger l'utilisateur entièrement. Il permettrait d'éviter des problèmes tels que de décider ce qui doit être garanti, car tout serait, et ce n'est pas vraiment un inconvénient pour l'utilisateur.

Si j'étais déjà à l'aide de HTTPS pour une partie du site, pourquoi ne voudrais-je pas l'utiliser pour l'ensemble du site?

C'est une question connexe: http://stackoverflow.com/questions/1361531/why-is-https-only-used-for-loginmais les réponses ne sont pas satisfaisantes. Les réponses supposent que vous n'avez pas été en mesure d'appliquer le protocole https pour l'ensemble du site.

Demandé el 30 de Avril, 2010 par Malfist

Réponses

Trop de publicités?

25voto

Eadwacer avatar
Eadwacer Points 731

En plus d'autres raisons (notamment liées à la performance), vous ne pouvez héberger un domaine unique par adresse IP* lors de l'utilisation de HTTPS.

Un seul serveur peut prendre en charge plusieurs domaines dans le protocole HTTP, le Serveur HTTP en-tête permet au serveur de savoir quel domaine pour y répondre.

Avec le protocole HTTPS, le serveur doit offrir son certificat au client lors de la première poignée de main TLS (qui est avant HTTP commence). Cela signifie que le Serveur d'en-tête n'a pas été envoyé mais il n'existe aucun moyen pour le serveur pour en savoir dont le domaine est demandée et qui un certificat (www.foo.com ou www.bar.com) pour y répondre.

*Note de bas de page: Techniquement, vous pouvez héberger plusieurs domaines si vous héberger sur des ports différents, mais qui n'est généralement pas une option. Vous pouvez également héberger plusieurs domaines si votre certificat SSL est a une wild-card. Par exemple, vous pouvez héberger à la fois foo.example.com et bar.example.com avec le certificat * .example.com

Répondu el 1 de Mai, 2010 par Eadwacer (731 Points )

17voto

WhirlWind avatar
WhirlWind Points 8305

Je vois deux raisons.

  • Certains navigateurs peuvent prend pas en charge SSL.
  • SSL peut réduire les performances un peu. Si les utilisateurs téléchargent des fichiers volumineux publics, il peut y avoir une charge système pour chiffrer ces chaque fois.
  • Vous souhaiterez probablement la page d’accueil accessible via HTTP, afin que les utilisateurs n’ont pas à se rappeler de type https pour y accéder.
Répondu el 30 de Avril, 2010 par WhirlWind (8305 Points )

13voto

Rook avatar
Rook Points 34698

En fait, SSL n’est pas utilisé assez souvent. HTTPS doit être utilisé pour l' ensemble de la session, à aucun moment un ID de Session peuvent être envoyé via HTTP. Si vous n’utilisez https pour se connecter, alors vous êtes en violation flagrante de l’OWASP top 10 pour 2010 « A3 : Broken authentification et gestion de Session ».

Répondu el 30 de Avril, 2010 par Rook (34698 Points )

12voto

Adam Wright avatar
Adam Wright Points 31715

La principale raison pour moi, au-delà de la charge système, est que ça casse l’hébergement virtuel par nom basé. Avec SSL, c’est un site - une seule adresse IP. C’est assez cher, mais aussi plus difficile à gérer.

Répondu el 30 de Avril, 2010 par Adam Wright (31715 Points )

12voto

David M avatar
David M Points 2605

Pourquoi ne pas envoyer chaque escargot-mail poste dans une inviolable opaque de l'enveloppe par Courrier recommandé? Quelqu'un dans le Bureau de Poste aura toujours des personnels de la garde, de sorte que vous pourriez être à peu près sûr que personne n'est l'espionnage sur votre mail. Évidemment, la réponse est que, bien que le courrier est en vaut la peine, plus le courrier n'est pas. Je ne m'inquiète pas si quelqu'un lit mon "Heureux que tu es sorti de prison!" carte postale de l'Oncle Joe.

Le chiffrement n'est pas libre, et il n'est pas toujours de l'aide.

Si une session (tels que des magasins, banques, etc.) va le vent vers le haut en utilisant le protocole HTTPS, il n'y a aucune bonne raison de ne pas faire la totalité de la session HTTPS dès que possible.

Mon avis est que HTTPS doit être utilisé uniquement lorsque inévitablement nécessaire, soit parce que la demande ou de la réponse doit être préservée intermédiaire d'espionnage. Comme un exemple, aller chercher à la Yahoo! la page d'accueil. Même si vous êtes connecté, la plupart de votre interaction sur HTTP. Vous authentifiez sur HTTPS et obtenir des cookies que prouver votre identité, de sorte que vous n'avez pas besoin de HTTPS pour lire de nouvelles histoires.

Répondu el 30 de Avril, 2010 par David M (2605 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X