Comment faire un site web sécurisé par https

Question

Je dois construire une petite webapp pour une entreprise de maintenir leurs données d'entreprise... Seulement ceux au sein de l'entreprise sera de l'utiliser, mais nous prévoyons d'en être l'hôte du domaine public, de sorte que les employés peuvent se connecter à l'application à partir de divers endroits. (Jusqu'à maintenant j'ai construit des applications web qui sont hébergés à l'interne seulement)

Je me demande si j'ai besoin d'utiliser une connexion sécurisée (https) ou tout simplement les formes d'authentification est assez.

Si vous dites https, j'ai quelques questions :

1. Que dois-je faire pour préparer mon site web pour https. (Ai-je besoin de modifier le code / Config)
2. Est SSL et https un seul et même...
3. Dois-je demander à quelqu'un pour obtenir une licence ou quelque chose.
4. Ai-je besoin de faire toutes mes pages sécurisées ou uniquement la page de connexion...

J'étais à la recherche de l'Internet pour la réponse, mais je n'ai pas pu obtenir tous ces points... Tout livre blanc ou d'autres références serait également utile...

N'hésitez pas à demander au cas où vous avez besoin plus d'informations.

Merci

• Raja

Answer 1

Que dois-je faire pour préparer mon site web pour https. (Ai-je besoin de modifier le code / Config)

Vous devez garder les meilleures pratiques de codage sécurisé à l'esprit (ici est une bonne intro: http://www.owasp.org/index.php/Secure_Coding_Principles ), sinon tous vous avez besoin est correctement mis en place un certificat SSL.

Est SSL et https un seul et même..

Très bien, oui.

Dois-je demander à quelqu'un pour obtenir de l' certains de licence ou de quelque chose.

Vous pouvez acheter un certificat SSL auprès d'une autorité de certification ou d'utiliser un certificat auto-signé. Ceux que vous pouvez acheter varient énormément dans le prix - à partir de 10 $à des centaines de dollars par année. Vous auriez besoin d'un de ces si vous mettez en place une boutique en ligne, par exemple. Les certificats auto-signés sont une option viable pour une application interne. Vous pouvez également utiliser l'un de ceux pour le développement. Voici un bon tutoriel sur la façon de configurer un certificat auto-signé pour IIS: Activation de SSL sur IIS 7.0 à l'Aide de Certificats Auto-Signés

Ai-je besoin de faire toutes mes pages sécurisées ou uniquement la page de connexion..

Utiliser HTTPS pour tout, pas seulement la première connexion de l'utilisateur. Il ne va pas être trop d'un rétroprojecteur et cela signifie que les données que les utilisateurs d'envoyer/recevoir de votre hébergée à distance de l'application ne peuvent pas être lues par des tiers que si elle est interceptée. Même Gmail se tourne maintenant sur HTTPS par défaut.

Answer 2

Quel type de données de l'entreprise? Les secrets commerciaux ou tout simplement des choses qu'ils ne veulent pas les gens à voir, mais si il est sorti, il ne serait pas une grosse affaire? Si nous parlons de secrets commerciaux, de l'information financière, information de la clientèle et des trucs qui sont généralement confidentielles. Alors ne même pas aller dans cette voie.

Je me demande si j'ai besoin d'utiliser un connexion sécurisée (https) ou tout simplement les l'authentification par formulaire est assez.

Utiliser une connexion sécurisée.

Ai-je besoin de modifier le code / Config

Oui. Eh bien peut-être pas. Vous pouvez demander à un expert de le faire pour vous.

Est SSL et https un seul et même...

Pour la plupart oui. Habituellement, les gens se réfèrent à ces choses comme la même chose.

Dois-je demander à quelqu'un pour obtenir une licence ou quelque chose.

Vous souhaitez probablement votre certificat signé par une autorité de certification. Il vous en coûtera à vous ou à votre client un peu d'argent.

Ai-je besoin de faire toutes mes pages sécurisées ou uniquement la page de connexion...

Utiliser https partout. La Performance est généralement pas un problème si le site est destiné aux utilisateurs internes.

J'étais à la recherche de l'Internet pour la réponse, mais je n'étais pas en mesure d'obtenir toutes ces points... Tout blanc ou autres références serait également utile...

Commencez ici pour quelques conseils: http://www.owasp.org/index.php/Category:OWASP_Guide_Project

Notez que le protocole SSL est un minuscule morceau de rendre votre site web sécurisé une fois qu'il est accessible à partir de l'internet. Il n'empêche pas la plupart des sorte de piratage.

Answer 3

Je pense que vous êtes de se confondre avec votre site d'Authentification et de cryptage SSL.

Si vous avez besoin d'obtenir votre site en SSL, vous devez installer un certificat SSL sur votre serveur web. Vous pouvez acheter un certificat pour vous-même à partir de l'un des endroits comme Verisign ou Thawte etc. Le certificat contiendra votre paire clé publique/privée, ainsi que d'autres choses.

Vous n'aurez pas besoin de faire quoi que ce soit dans votre code source, et vous pouvez continuer à utiliser votre Formulaire Authntication (ou autre) dans votre site. C'est juste que, toute communication de données entre le serveur web et le client sont cryptées et signées à l'aide de votre certificat. Des gens seraient d'utiliser secure-HTTP (https://) pour accéder à votre site.

Vue ce pour plus d'info --> http://en.wikipedia.org/wiki/Transport_Layer_Security

Answer 4

Les données de l'entreprise, si les données sont privées, je voudrais utiliser une connexion sécurisée, sinon une authentification de formulaires est suffisant.

Si vous décidez d'utiliser une connexion sécurisé, veuillez noter que je n'ai pas d'expérience avec la sécurisation de sites web, je suis juste de se raconter ce que j'ai rencontré au cours de mon expérience personnelle. Si je me trompe, de toute façon, n'hésitez pas à me corriger.

Que dois-je faire pour préparer mon site web pour https. (Ai-je besoin de modifier le code / Config)

Pour activer le protocole SSL (Secure Sockets Layer) pour votre site web, vous auriez besoin d'un certificat, d'un code ou config n'est pas modifié.

J'ai activé le SSL pour un interne de serveur web, en utilisant OpenSSL et ActivePerl de ce tutoriel en ligne. Si ce est utilisé pour un public plus large (à mon public était de moins de 10 personnes) et est dans le domaine public, je vous suggère de consulter un professionnel de solutions de rechange.

Est SSL et https un seul et même...

Pas exactement, mais ils vont main dans la main! SSL garantit que les données sont cryptées et décryptées en arrière pendant que vous consultez le site, https correspond à l'URI qui est nécessaire pour accéder au site web sécurisé. Vous remarquerez lorsque vous essayez d'accéder http://secure.mydomain.com il affiche un message d'erreur.

Dois-je demander à quelqu'un pour obtenir une licence ou quelque chose.

Vous n'auriez pas besoin d'obtenir une licence, mais plutôt d'un certificat. Vous pouvez regarder dans les entreprises qui offrent des services professionnels avec la sécurisation de sites web, tels que VeriSign comme un exemple.

Ai-je besoin de faire toutes mes pages sécurisées ou uniquement la page de connexion...

Une fois que votre certificat est activé pour mydomain.com chaque page qui relève *.mydomain.com sera fixé.

Answer 5

4.Ai-je besoin de faire toutes mes pages sécurisées ou uniquement la page de connexion...

Il suffit de garder la page de connexion https

ce sera d'assurer qu'il n'y a pas de frais généraux lors de la navigation sur d'autres pages. la condition est que vous devez donner les bons paramètres d'authentification dans le web config. C'est pour s'assurer que les utilisateurs qui ne sont pas connectés ne seront pas en mesure de parcourir les pages qui ont besoin d'authentification.