ajs*_*sie 12 https web-applications http
我是网络安全的新手.
为什么我要使用HTTP然后切换到HTTPS进行某些连接?
为什么不一直坚持使用HTTPS?
Bru*_*uno 17
有一些有趣的配置改进可以使SSL/TLS更便宜,如本文档所述(显然是基于Google团队的工作:Adam Langley,Nagendra Modadugu和Wan-Teh Chang):http://www.imperialviolet.组织/ 2010/06/25 /超频,ssl.html
如果我们想要向世界传达一点,那就是SSL/TLS不再具有计算成本.十年前它可能是真的,但事实并非如此.您也可以为用户启用HTTPS.
今年1月(2010年),Gmail默认使用HTTPS切换所有内容.以前它已作为选项推出,但现在我们所有用户都使用HTTPS来保护他们的浏览器和Google之间的电子邮件.为了做到这一点,我们不得不部署额外的机器和没有特殊的硬件.在我们的生产前端机器上,SSL/TLS占CPU负载的不到1%,每个连接少于10KB的内存,不到2%的网络开销.许多人认为SSL占用了大量的CPU时间,我们希望上述数字(首次公开)将有助于消除这一点.
如果你现在停止阅读,你只需要记住一件事:SSL/TLS不再具有计算成本.
将HTTPS仅用于登录页面时,一种错误的安全感就是你对会话劫持敞开了大门(诚然,它最好还是以明文方式发送用户名/密码); 例如,最近使用Firesheep更容易做(或更受欢迎)(虽然问题本身已存在更长时间).
可能会降低HTTPS速度的另一个问题是某些浏览器可能无法缓存通过HTTPS检索的内容,因此他们必须再次下载它们(例如,您经常访问的网站的背景图片).
话虽如此,如果您不需要传输安全性(防止攻击者查看或更改交换的数据,无论哪种方式),普通的HTTP都可以.
主要是表现原因.SSL需要额外的(服务器)CPU时间.
编辑:然而,这些开销现在变得不那么成问题,一些大型网站已经切换到默认的HTTPS(例如GMail - 请参阅Bruno的回答).