কেন সবকিছুর জন্য এইচটিটিপিএস ব্যবহার করবেন না?


126

যদি আমি কোনও সার্ভার সেট আপ করতাম এবং এসএসএল শংসাপত্র থাকি তবে কেন আমি কেবল ক্রয় / লগইন না করে পুরো সাইটের জন্য এইচটিটিপিএস ব্যবহার করব না? আমি মনে করি কেবল পুরো সাইটটি এনক্রিপ্ট করা এবং ব্যবহারকারীকে পুরোপুরি সুরক্ষিত করার জন্য এটি আরও অর্থবোধ করবে। এটি কী কী সুরক্ষিত করা উচিত তা সিদ্ধান্ত নেওয়ার মতো সমস্যাগুলি প্রতিরোধ করবে কারণ সবকিছু হবে এবং এটি ব্যবহারকারীর পক্ষে কোনও অসুবিধা নয়।

যদি আমি ইতিমধ্যে সাইটের অংশের জন্য এইচটিটিপিএস ব্যবহার করছিলাম তবে আমি কেন এটি পুরো সাইটের জন্য ব্যবহার করতে চাইব না?

এটি সম্পর্কিত প্রশ্ন: https শুধুমাত্র লগইনের জন্য কেন ব্যবহৃত হয়? , তবে উত্তর সন্তোষজনক নয়। উত্তরগুলি ধরে নিয়েছে আপনি পুরো সাইটে https প্রয়োগ করতে পারবেন না।


2
এটি আমাকে অবাক করে দেয় যে আর্থিক পরিষেবা সংস্থাগুলি এখনও http ব্যবহার করে।
টম হাটিন -

15
@ টম আমি চাই এমন কিছু সাইটগুলি যা আমাকে ফিশিং বার্তা প্রেরণ করে তাদের নকল সাইটগুলির জন্য https ব্যবহার করবে, তাই আমি জানি যে আমি আমার ডেটাটি সঠিক ফিশারে দিচ্ছি।
ঘূর্ণিবায়ু

এই প্রশ্ন জিজ্ঞাসা করার জন্য ধন্যবাদ। আমি অভিমানী ছিল কর্মক্ষমতা ছিল কারণ এবং এটি HTTP তুলনায় অনেক নির্মম হবে। উত্তরগুলি দেখে মনে হচ্ছে যে পারফরম্যান্স মারাত্মকভাবে খারাপ নয়, যা আমাকে খুব আশ্চর্য করে তোলে।
-

4
আমি মনে করি আপনি 11 টি নিচে ভোট দিয়ে পাতায় সবচেয়ে খারাপ উত্তরটি বেছে নিয়েছেন। আপনি যে উত্তরটি বেছে নিয়েছেন তাতে সুরক্ষা এবং সর্বোত্তম অনুশীলনের জন্য মোটামুটি অবজ্ঞা রয়েছে।
দম্পতি

5
এই প্রশ্নটি আসলেই একটি শিক্ষিত আধুনিক উত্তরের দাবিদার।
ওল্ড ব্যাডম্যান গ্রে

উত্তর:


17

আমি কয়েকটি কারণ চিন্তা করতে পারি।

  • কিছু ব্রাউজার এসএসএলকে সমর্থন নাও করতে পারে।
  • এসএসএল কিছুটা পারফরম্যান্স হ্রাস করতে পারে। যদি ব্যবহারকারীরা বড় বড়, সর্বজনীন ফাইলগুলি ডাউনলোড করে থাকেন তবে প্রতিবার এটি এনক্রিপ্ট করার জন্য সিস্টেমের বোঝা থাকতে পারে।

137
কোন ব্রাউজারগুলি এসএসএল সমর্থন করে না?
মালফিস্ট

6
লিনাক্সের কয়েকটি সংকলন এটি সমর্থন করবে না। আপনি যদি কেবল নতুন ব্রাউজারগুলিকে সমর্থন করছেন তবে আপনার ভাল হওয়া উচিত।
হোয়াইটওয়াইন্ড

5
আমি এটি দিয়ে যাচ্ছিলাম : iweb.tntech.edu/hexb/publications/https-STAR-03122003.pdf "একবার সার্ভার স্যাচুরেটর হয়ে গেলে, এইচটিটিপিএসের সিস্টেমের পারফরম্যান্স থ্রুটপুটের ক্ষেত্রে HTTP এর প্রায় 67% অর্জন করে।"
ঘূর্ণিবায়ু

16
আমি t buy this explanation. 1) Donএমন একটি ব্রাউজার ব্যবহার করি না যা 2013 সালে এসএসএলকে সমর্থন করে না 2) এমনকি গুগল এই মুহূর্তে এসএসএল ব্যবহার করে 3) সঠিকভাবে সেটআপ করে আপনি HTTP ট্র্যাফিকটিকে ডান https লিঙ্কে পুনর্নির্দেশ করতে পারেন।
jfyelle

4
খারাপ উত্তর, এত মনু কেন আপত্তি? পৃথিবীর কোন ব্রাউজার এসএসএল সমর্থন করে না এবং ব্যবহারকারীদের https টাইপ করতে হবে তা পুনর্নির্দেশগুলি দিয়ে পরিচালনা করা যায়
সান্ন

25

অন্যান্য কারণগুলি ছাড়াও (বিশেষত পারফরম্যান্স সম্পর্কিত) আপনি এইচটিটিপিএস ব্যবহার করার সময় কেবলমাত্র আইপি ঠিকানায় একক ডোমেইন হোস্ট করতে পারেন।

একটি একক সার্ভার HTTP- তে একাধিক ডোমেন সমর্থন করতে পারে কারণ সার্ভার HTTP শিরোলেখটি কোনও ডোমেনটির সাথে প্রতিক্রিয়া জানাতে সার্ভারকে জানাতে দেয়।

এইচটিটিপিএস সহ সার্ভারকে প্রাথমিক টিএলএস হ্যান্ডশেকের সময় (যা এইচটিটিপি শুরু হওয়ার আগে) এর সময় ক্লায়েন্টকে অবশ্যই তার শংসাপত্র সরবরাহ করতে হবে। এর অর্থ সার্ভার শিরোলেখ এখনও প্রেরণ করা হয়নি তাই কোন ডোমেনটির জন্য অনুরোধ করা হচ্ছে এবং কোন শংসাপত্র (www.foo.com, বা www.bar.com) এর সাথে সাড়া দেওয়ার সার্ভারের কোনও উপায় নেই।


* পাদটীকা: প্রযুক্তিগতভাবে, আপনি বিভিন্ন বন্দরগুলিতে হোস্ট করলে আপনি একাধিক ডোমেন হোস্ট করতে পারেন, তবে এটি সাধারণত কোনও বিকল্প নয়। আপনার এসএসএল শংসাপত্রের ওয়াইল্ড-কার্ড থাকলে আপনি একাধিক ডোমেনও হোস্ট করতে পারেন। উদাহরণস্বরূপ, আপনি foo.example.com এবং bar.example.com উভয়কে শংসাপত্র * .example.com দিয়ে হোস্ট করতে পারেন


5
ওয়াইল্ডকার্ড এসএসএল শংসাপত্র থাকা কি এই সমস্যার সমাধান করবে না?
রব

পাদটীকা উত্তরটির সাথে বিরোধিতা করে: / আপনি ওয়াইল্ডকার্ড শংসাপত্রগুলি ব্যবহার করতে এবং যে কোনও ডোমেন হোস্ট করতে পারেন। en.wikipedia.org/wiki/Wildcard_certificate
lucascaro

23
এই সমস্যাটি সার্ভার নেম ইঙ্গিত দ্বারা দীর্ঘকাল সমাধান হয়েছে, যা আজকাল সমস্ত বড় ব্রাউজার সমর্থন করে। en.wikedia.org/wiki/Server_Name_Indication
tia

@ সমস্ত ওয়েব সার্ভার বাদে @ এটিকে সমর্থন করে না
প্রভাব ফেলবে

2
@ প্রভাব ... তবে অ্যাপাচি 2, এনজিনেক্স, লাইটটিপিডি এবং নোডেজ সহ প্রচুর কাজ। এগুলি ছাড়াও, বিকাশকারীরা HTTPS টানেলিংয়ের জন্য কী বিপরীত প্রক্সি ব্যবহার করবেন তা চয়ন করতে পারেন। "কোনও ক্লায়েন্টরা এটি সমর্থন করে না" বললে এটি বৈধ পয়েন্ট হবে যদি এটি সত্য হয় কারণ এটি এমন কিছু যা বিকাশকারীর কোনও নিয়ন্ত্রণে থাকে না এবং তার অবশ্যই অ্যাকাউন্ট নেওয়া উচিত। যাইহোক, "কিছু সার্ভার এটি সমর্থন করে না" বলা বড় পরিমাণে অপ্রাসঙ্গিক, স্পষ্টতই কারণ এটির জন্য অ্যাকাউন্টিং করার দরকার নেই। বিশেষ করে যখন সমস্ত মূলধারার সার্ভার না আসলে সমর্থন আছে।
পার্থিয়ান শট

13

এসএসএল / টিএলএস প্রায়শই যথেষ্ট ব্যবহৃত হয় না। এইচটিটিপিএস অবশ্যই পুরো সেশনের জন্য ব্যবহার করা উচিত , কোনও পর্যায়ে এইচটিটিপি-র মাধ্যমে কোনও সেশন আইডি প্রেরণ করা যাবে না। আপনি যদি লগ ইন করার জন্য শুধুমাত্র https ব্যবহার করছেন তবে আপনি 2010 "এ 3: ব্রোকেন প্রমাণীকরণ এবং সেশন ম্যানেজমেন্ট" এর জন্য ওডাব্লুএএসপি শীর্ষ 10 এর স্পষ্ট লঙ্ঘন করছেন ।


এটি অনুমানের পক্ষে খুব বিস্তৃত হতে পারে। একক https লগইন ক্রিয়াকলাপের মাধ্যমে HTTP এবং https এর জন্য পৃথকভাবে পরিচালনা করা যায় না এমন কোনও কারণ নেই। এটি সম্ভবত এটির চেয়ে বেশি কাজ হতে পারে এবং সুরক্ষা সম্পর্কিত বাগগুলি আমন্ত্রণ জানায় তবে এটি স্বয়ংক্রিয়ভাবে একটি স্পষ্ট লঙ্ঘন বলে মনে হয় না।
আইনস্টাইন

@ আইনস্টাইন দয়া করে OWASP A3 পড়ুন, এটি খুব স্পষ্ট ভাষায় বলা আছে। মনে রাখবেন যে আক্রমণকারীটির কোনও ব্যবহারকারীর নাম / পাসওয়ার্ডের দরকার নেই যদি তার সাথে একটি সত্যায়িত সেশন থেকে কুকি থাকে।
দাড়কাক

সাইটটি মিশ্র https / http সরবরাহ করে। https লগইন পৃথক নিম্ন এবং উচ্চ সুরক্ষা সেশন টোকেন সরবরাহ করে। শুধুমাত্র HTTP সেশনে নিযুক্ত লো-সুরক্ষা টোকেনগুলি উচ্চ সুরক্ষার প্রয়োজনীয় অপারেশনগুলির জন্য কাজ করবে না। আমার পঠিত ওডাব্লুএএসপি এ 3 থেকে কম সুরক্ষা পরিবহনের মাধ্যমে উচ্চ সুরক্ষা অ্যাক্সেসের সম্ভাবনার প্রাথমিক সমস্যাটি নিছকভাবে আলোকিত করছে।
আইনস্টাইন

@ আইনস্টাইন তাহলে আপনি কি একমত নন যে ওয়েব ব্রাউজারগুলি প্রমাণীকরণের জন্য সেশন আইডি ব্যবহার করা হয়? এই আক্রমণের ধরণটি বিবেচনা করুন, এক্সএস আক্রমণে আপনি এর মূল্য অর্জন করার চেষ্টা করছেন document.cookieযাতে আক্রমণকারী প্রমাণীকরণের জন্য এটি ব্যবহার করতে পারে। এই মানটি ট্র্যাফিক স্নিগ্ধ করার মাধ্যমেও পাওয়া যায়, যা https বন্ধ হয়ে যায়। আপনার বক্তব্য কি তা আমি নিশ্চিত নই।
দাড়কাক

আপনার দৃশ্যে https সুরক্ষিত সংস্থানগুলির জন্য HTTP- র সেশন আইডিটি মূল্যহীন হবে যদি কোনও সিস্টেম https অধিবেশন ব্যতীত দুটি প্রোটোকল ব্যবহার করার অনুমতি না দেয় এবং HTTP সেশন কুকির দ্বারা প্রকাশিত সম্পর্কিত উত্সগুলিকে একক প্রমাণীকরণের জন্য দুটি পৃথক সেশন তৈরি করে। উদাহরণস্বরূপ, HTTP সেশনটি জনসাধারণের সংস্থানগুলিতে অ্যাক্সেস সনাক্তকরণের উদ্দেশ্যে ব্যবহার করা যেতে পারে বা পাবলিক বার্তা বোর্ডগুলিতে অ্যাক্সেস করতে পারে তবে তারা সুরক্ষিত সংস্থার জন্য বৈধ হবে না।
আইনস্টাইন

12

কেন নিবন্ধিত মেইল ​​দ্বারা প্রতিটি শামুক-মেল পোস্ট টেম্পার-প্রুফ অস্বচ্ছ খামে প্রেরণ করবেন না? পোস্ট অফিসের কারওর কাছে সর্বদা এটির ব্যক্তিগত জিম্মা থাকবে, সুতরাং আপনি নিশ্চিত হয়ে উঠতে পারবেন যে আপনার মেইলে কেউ স্নুপ করছে না। স্পষ্টতই, উত্তরটি হ'ল কিছু মেল ব্যয় মূল্যবান হলেও বেশিরভাগ মেল এটি নয়। আমার "খুশী আপনি জেল থেকে বেরিয়ে এসেছেন" কেউ পড়লে আমার কিছু যায় আসে না! আঙ্কেল জো-তে পোস্টকার্ড।

এনক্রিপশন বিনামূল্যে নয়, এবং এটি সর্বদা সহায়তা করে না।

যদি কোনও অধিবেশন (যেমন শপিং, ব্যাংকিং ইত্যাদি) এইচটিটিপিএস ব্যবহার করে চলতে চলেছে তবে পুরো সেশনটিকে যত তাড়াতাড়ি সম্ভব এইচটিটিপিএস না করার কোনও ভাল কারণ নেই।

আমার অভিমত হ'ল এইচটিটিপিএস কেবল তখনই অপরিহার্যভাবে প্রয়োজনে ব্যবহার করা উচিত, কারণ অনুরোধ বা প্রতিক্রিয়াটি অন্তর্বর্তী স্নুপিং থেকে রক্ষা করা দরকার। উদাহরণ হিসাবে, দেখুন ইয়াহু! হোমপেজে। আপনি লগ ইন করা সত্ত্বেও, আপনার বেশিরভাগ মিথস্ক্রিয়াটি HTTP এর ওপরে হবে। আপনি এইচটিটিপিএসের মাধ্যমে প্রমাণীকরণ করেছেন এবং কুকিজগুলি পান যা আপনার পরিচয় প্রমাণ করে, তাই আপনাকে খবরের গল্পগুলি পড়ার জন্য এইচটিটিপিএস লাগবে না।


হাঃ হাঃ হাঃ!!! গ্রেট! আমি বাজি ধরেছি দুর্বৃত্ত পোস্টম্যান "জেল থেকে মুক্তি পেয়ে খুশী" দিয়ে খামটি খোলার সাথে সাথে তার প্যান্টটি কিছুটা
ঝাঁকুনি

19
যদি নিবন্ধিত মেলটির 300% বেশি পরিবর্তে 1% বেশি খরচ হয় তবে আমি এটিকে সবকিছুর জন্য ব্যবহার করব ।
দ্রবীভূত

3
You authenticate over HTTPS and get cookies that prove your identity, so you don't need HTTPS to read news stories.এটি সেশন আথ পরিচালনা করার উপযুক্ত উপায় নয়। কুকিগুলি সিকিউর পতাকা সহ সেট করা উচিত। তবে এক সেকেন্ডের জন্য সেই ভয়ঙ্কর সুরক্ষা পরামর্শকে উপেক্ষা করা ... আপনার মেল উপমাটি কয়েকটি কারণে সত্যই সঠিক নয়। এমন একটি যে আপনি সাধারণত রিটার্ন মেইলে শোষনগুলি ইনজেক্ট করতে পারবেন না, বা দায়বদ্ধতার সাথে অন্য কারও কাছে ছদ্মবেশ ধারণ করতে পারবেন না, বা "আপনার সেশনটির মেয়াদোত্তীর্ণ" বার্তাটি রিটার্ন মেইলে পপ করুন যাতে তারা ইয়াহু উভয়ের জন্যই ব্যবহার করা শংসাপত্রগুলি পুনরায় প্রবেশ করে! এবং তাদের ব্যাংক
পার্থিয়ান শট

পাসওয়ার্ড পুনঃব্যবহার এবং সেশন ফিক্সেশন, অন্যান্য জিনিসগুলির মধ্যেও শামুক মেল সমস্যা নয়।
পার্থিয়ান শট

সেগুলি ভাল পয়েন্ট, তবে আপনি ২০১০ সালে একটি আলোচনায় 2016 এর বিশ্লেষণ প্রয়োগ করছেন
ডেভিড এম

12

সিস্টেম লোডের বাইরেও সবচেয়ে বড় কারণ হ'ল এটি নাম ভিত্তিক ভার্চুয়াল হোস্টিং break এসএসএল সহ এটি একটি সাইট - একটি আইপি ঠিকানা। এটি বেশ ব্যয়বহুল, পাশাপাশি পরিচালনা করা আরও শক্ত।


+1 টি তার কারণে Google App ইঞ্জিন কাস্টম ডোমেনে HTTPS সমর্থন করে না। টিএলএস-এসএনআই আরও ব্যাপকভাবে সমর্থিত হওয়ার অপেক্ষায়।
শ্রীপাঠি কৃষ্ণন

1
এসএসএল সমাপ্তকারী হার্ডওয়্যার দিয়ে আপনি এটি ফিরে পেতে পারেন। এবং যদি সিস্টেম লোড সমস্যা হয় (এটি অনেক লোকের জন্য হয়!) তবে হার্ডওয়্যার এসএসএল যেভাবেই যেতে পারে।
জেসন

আপনার একই সারিতে একাধিক ডোমেন থাকতে পারে।
লুকাস্কারো

10

7
ডাউনভোটিং কারণ পোস্টের তথ্য অপ্রচলিত। এসএনআই এখন সমস্ত বড় ব্রাউজার দ্বারা সমর্থিত।
মার্টিন টার্নওয়াল

5

উচ্চ বিলম্বিত লিঙ্কগুলির জন্য প্রাথমিক টিএলএস হ্যান্ডশেকের শংসাপত্র চেইনকে বৈধ করতে (কোনও মধ্যবর্তী শংসাপত্র প্রেরণ সহ) অতিরিক্ত রাউন্ড ট্রিপ দরকার, সাইফার স্যুটগুলিতে সম্মত এবং একটি অধিবেশন স্থাপন করতে। একবার একটি সেশনটি প্রতিষ্ঠিত হয়ে গেলে পরবর্তী অনুরোধগুলি রাউন্ড ট্রিপের সংখ্যা হ্রাস করতে সেশন ক্যাচিং ব্যবহার করতে পারে তবে এই সর্বোত্তম ক্ষেত্রে এখনও সাধারণ এইচটিটিপি সংযোগের চেয়ে আরও বেশি রাউন্ড ট্রিপ থাকতে পারে। এমনকি এনক্রিপশন অপারেশনগুলি নিখরচায় রাউন্ড ট্রিপগুলি না হলেও ধীর নেটওয়ার্ক লিঙ্কগুলির চেয়ে বেশ লক্ষণীয় হতে পারে বিশেষত যদি সাইটটি এইচপি পাইপলাইনের সুবিধা না দেয়। নেটওয়ার্কের একটি ভাল সংযুক্ত অংশের মধ্যে ব্রডব্যান্ড ব্যবহারকারীদের জন্য এটি কোনও সমস্যা নয়। যদি আপনি আন্তর্জাতিকভাবে https রিকোয়রিং ব্যবসায় করেন তবে সহজেই লক্ষণীয় বিলম্বের কারণ হতে পারে।

অতিরিক্ত বিবেচনা রয়েছে যেমন সেশন স্টেটের সার্ভার রক্ষণাবেক্ষণের জন্য সম্ভবত আরও মেমরির প্রয়োজন এবং অবশ্যই ডেটা এনক্রিপশন ক্রিয়াকলাপ। যে কোনও ছোট সাইটগুলি কার্যত আজকের হার্ডওয়্যারের তুলনায় প্রদত্ত সার্ভারের সামর্থ্য সম্পর্কে চিন্তার দরকার নেই। যে কোনও বড় সাইট সহজেই অনুরূপ কার্যকারিতা সরবরাহ করতে সিপিইউ / ডাব্লু এইএস অফলোড বা অ্যাড-অন কার্ড বহন করতে সক্ষম হবে।

সময় বাড়ার সাথে সাথে হার্ডওয়্যার এবং নেটওয়ার্কের সক্ষমতা উন্নত হওয়ার সাথে সাথে এই সমস্ত ইস্যুগুলি নন-ইস্যুতে পরিণত হচ্ছে। বেশিরভাগ ক্ষেত্রেই আমি সন্দেহ করি যে আজ কোনও স্পষ্ট পার্থক্য রয়েছে।

Https ট্র্যাফিকের প্রশাসনিক বিধিনিষেধের মতো অপারেশনাল বিবেচ্য বিষয়গুলি থাকতে পারে (অন্তর্বর্তী সামগ্রী ফিল্টারগুলি মনে করুন..আপনার মতামত) সম্ভবত কিছু কর্পোরেট বা সরকারী বিধিবিধান রয়েছে। কিছু কর্পোরেট পরিবেশে তথ্য ফাঁস রোধে পেরিমিটারে ডেটা ডিক্রিপশন প্রয়োজন ... হটস্পট এবং সিম্পায়ার ওয়েব ভিত্তিক অ্যাক্সেস সিস্টেমের সাথে হস্তক্ষেপ https লেনদেনে বার্তাগুলি ইনজেক্ট করতে সক্ষম নয়। দিন শেষে আমার দৃষ্টিতে ডিফল্টরূপে https না যাওয়ার কারণগুলি বেশ ছোট হতে পারে।


4

https সাধারণ http এর চেয়ে বেশি সংস্থান-ক্ষুধার্ত।

এটি সার্ভার এবং ক্লায়েন্ট উভয়ের কাছ থেকে আরও বেশি দাবি করে।


3

যদি পুরো সেশনটি এনক্রিপ্ট করা থাকে তবে আপনি প্রক্সি স্তরের উদাহরণস্বরূপ আইএসপিতে চিত্র এবং জেএসের মতো স্থিতিশীল সংস্থার জন্য ক্যাচিং ব্যবহার করতে পারবেন না।


ঠিক আছে, এসএসএল-সমাপ্তি প্রক্সি ব্যতীত বা আপনি যদি এইচটিটিপিএস-সক্ষম সিডিএন ব্যবহার করেন।
পার্থিয়ান শট

3

আপনার সর্বত্র HTTPS ব্যবহার করা উচিত তবে আপনি নিম্নলিখিতটি হারাবেন:

  1. BREach এবং CRIME আক্রমণের কারণে আপনার অবশ্যই স্পষ্টত SSL- এর চেয়ে SSL কম্প্রেশন বা HTTP সংক্ষেপণ ব্যবহার করা উচিত নয়। সুতরাং আপনার প্রতিক্রিয়াতে সেশন বা সিএসআরএফ শনাক্তকারী থাকলে কোনও সংকোচনের দরকার নেই। আপনি আপনার স্থিতিশীল সংস্থানগুলি (চিত্র, জেএসএস, সিএসএস) একটি কুকি-কম ডোমেনে রেখে এটিকে প্রশমিত করতে পারেন এবং সেখানে সংক্ষেপণ ব্যবহার করতে পারেন। আপনি এইচটিএমএল মিনিফিকেশনও ব্যবহার করতে পারেন।

  2. একটি এসএসএল সার্ট, একটি আইপি ঠিকানা, এসএনআই না ব্যবহার করা যা সমস্ত ব্রাউজারগুলিতে (পুরানো অ্যান্ড্রয়েড, ব্ল্যাকবেরি 6 ইত্যাদি) কাজ করে না।

  3. আপনার পৃষ্ঠাগুলিতে কোনও বাহ্যিক সামগ্রী হোস্ট করা উচিত নয় যা এসএসএলে আসে না।

  4. ব্রাউজার যখন কোনও HTTP পৃষ্ঠায় যায় তখন আপনি আউটবাউন্ড এইচটিটিপি রেফারার শিরোনামটি হারাবেন যা আপনার জন্য সমস্যা হতে পারে বা নাও হতে পারে।


0

ঠিক আছে, প্রকট কারণটি হল পারফরম্যান্স: সংক্রমণের আগে সার্ভারের মাধ্যমে সমস্ত ডেটা এনক্রিপ্ট করতে হবে এবং তারপরে প্রাপ্ত ক্লায়েন্টের দ্বারা ডিক্রিপ্ট করা হবে, যদি কোনও সংবেদনশীল ডেটা না থাকে তবে সময় নষ্ট হয়। এটি আপনার সাইটের কত অংশ ক্যাশে করা হয়েছে তাও প্রভাবিত করতে পারে।

এটি যদি শেষ ঠিকানা ব্যবহারকারীর https://পরিবর্তে সমস্ত ঠিকানা ব্যবহার করে তবে এটি বিভ্রান্তিকর http://। এছাড়াও, এই উত্তর দেখুন:

জেএস ফাইল অন্তর্ভুক্ত করার সময় কেন সর্বদা https ব্যবহার করবেন না?


9
কেন এটি ব্যবহারকারীদের বিভ্রান্ত করবে? কতজন আসলে ইউরির প্রোটোকল দেখে?
ম্যালফিস্ট

আজ, 10 বছর পরে, https আরও সাধারণ এবং HTTP বিভ্রান্তিকর হবে
ম্যাডপ্রপস

0

https কে ক্লায়েন্টের অনুরোধ এবং প্রতিক্রিয়াগুলি এনক্রিপ্ট এবং ডিক্রিপ্ট করার জন্য সার্ভারের প্রয়োজন। সার্ভার প্রচুর ক্লায়েন্ট পরিবেশন করা থাকলে পারফরম্যান্সের প্রভাবটি যুক্ত হবে। এ কারণেই https- র বেশিরভাগ বাস্তবায়ন কেবলমাত্র পাসওয়ার্ড প্রমাণীকরণের মধ্যে সীমাবদ্ধ। কিন্তু ক্রমবর্ধমান কম্পিউটিং পাওয়ারের সাথে এটি পরিবর্তিত হতে পারে, সমস্ত জিমেইল পুরো সাইটের জন্য এসএসএল ব্যবহার করার পরে।


0

ঘূর্ণিবাকের প্রতিক্রিয়া ছাড়াও, আপনার এসএসএল শংসাপত্রগুলির ব্যয় এবং প্রয়োগযোগ্যতা, অ্যাক্সেসের সমস্যাগুলি বিবেচনা করা উচিত (এটি সম্ভব, যদিও অসম্ভব, কোনও ক্লায়েন্ট এসএসএল পোর্টের মাধ্যমে যোগাযোগ করতে সক্ষম না হতে পারে) ইত্যাদি।

এসএসএল ব্যবহার করা কোনও গ্যারান্টিযুক্ত কম্বল নয়। এই ধরণের সুরক্ষা কিছু ম্যাজিক বুলেটের উপর নির্ভর করার পরিবর্তে অ্যাপ্লিকেশনটির আর্কিটেকচারে তৈরি করা দরকার।


2
যেহেতু ব্যবহারকারীর ইতিমধ্যে সাইটের অংশটিকে রক্ষা করা হচ্ছে, তাই সার্টের দাম কম-বেশি oot
ভবিষ্যতলিটি 7

2
@ ভাউচারেলাইট good ভাল পয়েন্ট তবে ভবিষ্যতে এই বিষয়টি নিয়ে গবেষণা করতে পারে এমন অন্যদের সাথে সম্ভবত প্রাসঙ্গিক।
ডিভে

বৈশিষ্ট্য সুরক্ষার শত্রু। আমার নিজের স্টাফগুলির বেশিরভাগ দুর্বলতাগুলির মধ্যে কিছু অসুস্থ-পরামর্শযুক্ত বৈশিষ্ট্যের শিকড় রয়েছে যা আমি বা কোনও পূর্বসূরি পণ্য পরিকল্পনায় স্বীকৃত। আমি দেখতে পেয়েছি যে কোনও বৈশিষ্ট্যটি লাথি মেরে ফেলা হয়েছে কারণ এটির কারণে সুরক্ষা দুর্বলতা আপনাকে প্রথমে নামিয়ে দেওয়ার চেয়ে আরও জনপ্রিয় করে তোলে না। জনপ্রিয়তার বিষয়টি বিবেচনা করা উচিত নয়, তবে দুঃখের বিষয় এটি করতে পারে এবং করতে পারে। আপনার জুতাগুলিতে, আমি নিজেকে জিজ্ঞাসা করব যে আমি অনিরাপদ ব্যবহারকারীদের সাথে আসলেই কতটা মোকাবেলা করতে চাই, বা অ্যাপ্লিকেশনটি এমন ব্যবহারকারীদের জন্য উপযুক্ত কিনা যা এনক্রিপশন ব্যবহার করতে পারে না (মনে করুন: ব্যাংকিং, রাজনীতি, সক্রিয়তা)।
জেসন

0

আমাকে বলা হয়েছিল যে আমাদের সংস্থার একটি প্রকল্পে তারা দেখতে পেয়েছে যে এসএসএল বার্তাগুলির দ্বারা প্রাপ্ত ব্যান্ডউইথটি সরল বার্তাগুলির চেয়ে উল্লেখযোগ্য পরিমাণে বেশি। আমি বিশ্বাস করি যে কেউ আমাকে বলেছেন যে এটি প্রায় 12 গুণ বেশি ডেটা অবাক করে দেয়। আমি নিজে এটি যাচাই করে নিই না এবং এটি খুব উচ্চ শোনায় তবে প্রতিটি পৃষ্ঠায় যদি কিছু ধরণের শিরোনাম যুক্ত হয় এবং বেশিরভাগ পৃষ্ঠাগুলিতে খুব সামান্য পরিমাণ সামগ্রী থাকে, তবে এটি খুব বেশি দূরে নাও থাকতে পারে।

এটি বলেছিল, HTTP এবং https এর মধ্যে পিছনে পিছনে যাওয়ার এবং কোন পৃষ্ঠাগুলি কোনটি আমার পক্ষে অনেক বেশি পরিশ্রমের মতো বলে মনে হচ্ছে তা রাখার ঝামেলা। আমি কেবল একবারই এমন একটি সাইট তৈরির চেষ্টা করেছি যা এগুলি মিশিয়েছিল এবং যখন আমরা জাভাস্ক্রিপ্ট দ্বারা তৈরি পপ-আপ উইন্ডোজগুলির মতো জটিল বিষয়গুলির সাথে ভুল প্রোটোকল সংযুক্ত করে এবং সেই ধরণের জিনিসটি পেয়েছিলাম তখন আমরা পরিকল্পনাটি ত্যাগ করি। আমরা কেবলমাত্র কম সাইট হিসাবে পুরো সাইটটি https তৈরি করে শেষ করেছি। আমি সাধারণ ক্ষেত্রে অনুমান করি যেখানে আপনার কাছে কেবল লগইন স্ক্রিন এবং একটি অর্থপ্রদানের স্ক্রিন রয়েছে যা সুরক্ষিত করা দরকার এবং সেগুলি সহজ পৃষ্ঠা, এটি মিক্স এবং মিলানো কোনও বড় বিষয় হবে না।

ডিক্রিপ্ট করার জন্য ক্লায়েন্টের বোঝা সম্পর্কে আমি বেশি চিন্তা করব না। সাধারণত ক্লায়েন্টটি তার প্রক্রিয়াকরণে যত বেশি সময় লাগে তার চেয়ে ডেটা আসার জন্য অপেক্ষা করতে অনেক বেশি সময় ব্যয় করতে চলেছে। ব্যবহারকারীরা নিয়মিত গিগাবিট / সেকেন্ড ইন্টারনেট সংযোগ না পাওয়া পর্যন্ত ক্লায়েন্ট প্রসেসিং শক্তি সম্ভবত বেশ অপ্রাসঙ্গিক। সার্ভারের দ্বারা পৃষ্ঠাগুলি এনক্রিপ্ট করার অনুরোধ করা সিপিইউ পাওয়ারটি আলাদা সমস্যা। এটি শত শত বা হাজার হাজার ব্যবহারকারীর সাথে রাখতে না পারার সমস্যা থাকতে পারে।


1
অতিরিক্ত ব্যান্ডউইথ খুব খারাপ ক্ষেত্রে এমনকি ছোট।
রাষ্ট্রপতি জেমস কে পোলক

0

অন্য একটি ছোট পয়েন্ট (সম্ভবত কেউ যাচাই করতে পারে), কোনও ব্যবহারকারীর যদি কোনও ফর্ম আইটেম যেমন কোনও পাঠ্য বাক্সে ডেটা টাইপ করা হয় এবং কোনও কারণে যদি পৃষ্ঠাটি রিফ্রেশ করে বা সার্ভারটি একটি সেকেন্ডের জন্য ক্র্যাশ করে, তবে ব্যবহারকারী প্রবেশ করানো ডেটা ব্যবহার করে হারিয়ে যায় HTTPS তবে HTTP ব্যবহার করে সংরক্ষিত।

দ্রষ্টব্য: আমি নিশ্চিত নই যে এটি ব্রাউজারটি নির্দিষ্ট কিনা তবে এটি অবশ্যই আমার ফায়ারফক্স ব্রাউজারের সাথে ঘটে।


0

আইআইএস 8.0 সহ উইন্ডোজ সার্ভার 2012 এসএনআই সরবরাহ করে যা সার্ভার নেম ইঙ্গিত যা আইআইএসে একাধিক এসএসএল ওয়েব অ্যাপ্লিকেশনগুলিকে একটি আইপি ঠিকানায় হোস্ট করার অনুমতি দেয়।


1
এই প্রশ্নের সাথে কী করার আছে? এটি একটি আকর্ষণীয় বৈশিষ্ট্য, তবে আমি প্রাসঙ্গিকতা দেখছি না।
ব্যবহারকারী 1618143
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.