http和https之间的性能有任何重大差异吗?我似乎记得读到HTTPS的速度可以达到HTTP的五分之一.这对当前的网络服务器/浏览器有效吗?如果是这样,有没有支持它的白皮书?
因此,使用Firesheep,公共Wi-Fi中的每个人现在都有一键式会话劫持工具.
它的工作方式 - 据我所知 - 它只是捕获所有流量并抓取会话cookie(因此它不会窃取密码).
根据我的理解,这也意味着HTTPS安全登录不能单独解决这个问题,因为进一步的HTTP流量将再次以明文形式包含会话Cookie.
由于NAT将会话绑定到特定IP地址是无用的,并且将其绑定到用户代理很容易欺骗.
那么100%HTTPS始终是阻止此类会话劫持的唯一方法吗?人们不能简单地嗅探整个HTTPS流量,包括握手,还是这个东西安全?(我正在考虑重播攻击,但对该领域一无所知.)
当然,不使用公共/开放式Wi-Fi网络是更好的选择,但我仍然对网站开发人员可以做些什么来保护他/她的用户感兴趣.
这是一个受欢迎的问题,它正在得到更多的关注.为了阻止错误信息的传播,请首先阅读以下段落和随附的文章:
速度不应成为决定是使用HTTPS还是HTTP的因素.如果您的站点的任何部分需要 HTTPS (登录,注册,信用卡等),您绝对需要所有这些的HTTPS.
我被认为在https下运行我的整个电子商务网站.我决定运行一个粗略的基准来测量156KB图像的下载时间,通过https vs http,因为我已经读过https负担加密过程带来的额外开销.
当从空缓存下载图像时,使用Firefox的Firebug简单地通过将"等待"和"接收"时间(所有其他时间均为0)转录到Excel中的Excel来执行基准测试.
我的结果出人意料:
http: 11.233 seconds
Waiting Receiving Total
1.56 0.88 2.44
1.55 0.101 1.651
1.53 0.9 2.43
1.71 0.172 1.882
1.9 0.93 2.83
https: 9.936 seconds
Waiting Receiving Total
0.867 1.59 2.457
0.4 1.67 2.07
0.277 1.5 1.777
0.536 1.29 1.826
0.256 1.55 1.806
[明显]基准观察:
任何人都可以解释为什么会这样吗?
你认为文件(html,css,javascript)会给出不同的结果吗?
有没有人有更好的基准测试下载方法?
[删除测试图像]
附加信息:
编辑:以下1px GIF(35字节)的基准:
http: 2.666 seconds
Waiting …https ×3
http ×2
benchmarking ×1
cryptography ×1
encryption ×1
performance ×1
security ×1
session ×1
ssl ×1