我目前正在为一家希望以简单的方式向客户发送文件的公司构建基于Web的文件上传/下载中心.
我的问题围绕网站的哪些部分确实需要进行SSL加密.仅加密登录表单是一种好的做法,但是保留网站的其他部分(如文件传输过程)是否未加密?
其中一些员工在经常使用嗅探器的外国酒店工作.我肯定会使用SSL登录表单,以保护某人不会窃取登录信息和删除文件等.但是,由于文件不敏感(此系统上没有使用过敏感文件),与SSL相关的速度成本是否会严重影响上传/下载速度?
感谢任何输入!
任何要求用户进行身份验证的请求都应通过HTTPS提供.换句话说,任何包含会话标识符的请求都必须加密.
在身份验证期间,大多数系统都会设置cookie以在后续请求中标识用户.如果通过未加密的频道发送会话标识符,那么中间人可以窥探该会话标识符,就像他们可以窥探密码一样.如果它们包含此被盗会话标识符,则服务器无法区分攻击者的伪造请求与实际用户的伪造请求.
SSL的开销通常比其他操作小,即使这样,它主要是在SSL握手的密钥协商阶段.对于大多数请求,可以通过确保将服务器设置为使用允许在后续请求中跳过协商的SSL会话来避免这种情况.
| 归档时间: |
|
| 查看次数: |
1284 次 |
| 最近记录: |