কোনও ওয়েবসাইটে এইচটিটিপিএস প্রয়োগ না করার কোনও কারণ আছে কি?

49

আমি ঘন ঘন একটি ওয়েবসাইট অবশেষে তাদের সার্ভারগুলিতে টিএলএস সক্ষম করার সিদ্ধান্ত নিয়েছে, কেবলমাত্র সেখানে প্রচুর ওয়েবসাইট হিসাবে এটি জারি করা নয়। রক্ষণাবেক্ষণকারী দাবি করেন যে টিএলএস অবশ্যই alচ্ছিক হতে হবে। কেন?

আমার নিজের ওয়েবসাইটে আমি দীর্ঘ সময়ের সাথে বাধ্যতামূলক টিএলএস এবং এইচএসটিএস স্থাপন করেছি এবং দুর্বল সাইফার স্যুটগুলি অক্ষম করা হয়েছে। টিভিলএস-সুরক্ষিত সংস্করণে এইচটিটিপি 301 দিয়ে ওয়ালেট আউট করার নিশ্চয়তা রয়েছে প্লেইনেক্সট অ্যাক্সেসের। এটি আমার ওয়েবসাইটকে নেতিবাচক প্রভাবিত করে?

ssl  hsts 
ম্যাক্সথন চ্যান
সূত্র
12
তারা আশঙ্কা করতে পারে, এইচএসটিএস এগুলি সমস্যায় ফেলবে, যদি কিছু ভুল হয়ে যায় (অর্থাত্ তাদের ফ্রি সিএ শংসাপত্র প্রদান বন্ধ করে দেয় বা কোনও সমস্যার কারণে ব্রাউজার ট্রাস্ট স্টোর থেকে সরানো হয়)। বর্তমান টিএলএস বাস্তুতন্ত্রের সাহায্যে আপনি বিশ্বস্ত সিএ / ব্রাউজার বিক্রেতাদের উপর নির্ভরশীলতা তৈরি করেন। এটি বর্তমানে এড়ানো এবং এটির পক্ষে শক্ত, তবে আপনি এখনও এটি একটি সমস্যা হিসাবে দেখতে পাচ্ছেন এবং কিছু ঘটলে স্বতন্ত্র থাকার সমাধান হিসাবে এইচটিটিপিএস প্রয়োগ করছেন না en
Allo
যে কেউ h2 এর জন্য tls এর প্রয়োজনীয়তা উল্লেখ করতে চান, যা HT1.1 এর চেয়ে অনেক দ্রুত। আপনার জন্য হর্স্ট করার পক্ষে ভাল, আমি সম্প্রতি আমার সাইটটি হ্যাস্ট প্রিলোড তালিকার জন্য প্রেরণ করেছি, আশা করছি আমি পোর্ট ৮০ টি একসাথে অক্ষম করতে পারি
জ্যাকব ইভানস
প্রশ্নগুলি
4
@gerrit এই যুক্তিটি স্বল্প মূল্যের এবং লেটস এনক্রিপ্টের মতো বিনামূল্যে শংসাপত্র কর্তৃপক্ষের সামনে দাঁড়ায় না।
ম্যাক্সথন চ্যান
1
আসুন এনক্রিপ্ট প্রতিটি হোস্টের সাথে কাজ করে না, এবং এটি আরও ভাল হোস্ট ব্যবহার করার মতো সহজ নয়। আমি অ্যাপ ইঞ্জিন ব্যবহার করি যা প্রযুক্তিগত কারণে সমর্থিত নয় (সরাসরি)।
কার্ল স্মিথ

উত্তর:

8

টিএলএস ব্যবহারের বেশ কয়েকটি ভাল কারণ রয়েছে

(এবং এটি না করার জন্য মাত্র কয়েকটি প্রান্তিক কারণ)।

  • সাইটের যদি কোনও প্রমাণীকরণ থাকে, সেশন এবং পাসওয়ার্ড চুরি করার জন্য এইচটিটিপি ব্যবহার করে।

  • এমনকি স্থিতিশীল, নিছক তথ্য সাইটগুলিতেও, টিএলএস ব্যবহার করে নিশ্চিত করে যে কেউই ডেটা নিয়ে ছলচাতুরী করছে না।

  • গুগল আই / ও ২০১৪ সাল থেকে গুগল সমস্ত সাইটকে এইচটিটিপিএস ব্যবহার করতে উত্সাহিত করার জন্য বিভিন্ন পদক্ষেপ নিয়েছে:

  • মোজিলা সিকিউরিটি ব্লগ এছাড়াও ঘোষণা করেছে বিনয়ী অ নিরাপদ HTTP করে সব নতুন বৈশিষ্ট্য শুধুমাত্র উপলব্ধ ওয়েবসাইট নিরাপদ করার জন্য এবং ধীরে ধীরে ব্রাউজারটিতে অ্যাক্সেস আউট বাড়াব অ-নিরাপদ ওয়েবসাইট, বিশেষত বৈশিষ্ট্য ব্যবহারকারীদের নিরাপত্তা এবং গোপনীয়তা ঝুঁকি জাহির করা জন্য অতিরিক্ত বৈশিষ্ট্যগুলিও উপস্থিত রয়েছে

টিএলএস প্রয়োগের বেশ কয়েকটি ভাল কারণও রয়েছে

আপনার যদি ইতিমধ্যে একটি বিস্তৃত বিশ্বস্ত শংসাপত্র থাকে তবে সর্বদা এটি ব্যবহার করবেন না কেন? কার্যত সমস্ত বর্তমান ব্রাউজারগুলি টিএলএস সমর্থন করে এবং এতে মূল শংসাপত্র ইনস্টল করা আছে। বছরের পর বছরগুলিতে আমি দেখতে পেলাম কেবলমাত্র সামঞ্জস্যতা সমস্যাটি হ'ল অ্যান্ড্রয়েড ডিভাইস এবং মিস করা ইন্টারমিডিয়েট শংসাপত্র কর্তৃপক্ষ কেবলমাত্র সরাসরি সিএতে বিশ্বাস করে। শংসাপত্রের চেইনটি মূল সিএতে পাঠানোর জন্য সার্ভারটি কনফিগার করে এটি সহজেই প্রতিরোধ করা যায় can

যদি আপনার রক্ষণকারীরা সরাসরি এইচটিটিপি সংযোগগুলি সরাসরি ছাড়াই অনুমতি দিতে চান 301 Moved Permanently, তবে কিছু সত্যই পুরানো ব্রাউজার বা মোবাইল ডিভাইস থেকে অ্যাক্সেস নিশ্চিত করার জন্য বলুন, ব্রাউজারের পক্ষে এটির কোনও উপায় নেই যে আপনি এইচটিটিপিএসও কনফিগার করেছেন । উপরন্তু, আপনি স্থাপন করা উচিত নয় HTTP- র কঠোর পরিবহন নিরাপত্তা (HSTS) ছাড়া 301 Moved Permanently:

7.2.  HTTP Request Type

   If an HSTS Host receives a HTTP request message over a non-secure
   transport, it SHOULD send a HTTP response message containing a status
   code indicating a permanent redirect, such as status code 301
   (Section 10.3.2 of [RFC2616]), and a Location header field value
   containing either the HTTP request's original Effective Request URI
   (see Section 9 "Constructing an Effective Request URI") altered as
   necessary to have a URI scheme of "https", or a URI generated
   according to local policy with a URI scheme of "https").

উভয় প্রোটোকলের জন্য কনফিগার করা বিভিন্ন সাইটের সমস্যাটি টোর প্রকল্প এবং বৈদ্যুতিন ফ্রন্টিয়ার ফাউন্ডেশন দ্বারা স্বীকৃত এবং একটি মাল্টি ব্রাউজার এইচটিটিপিএস সর্বত্র এক্সটেনশন দ্বারা সমাধান করেছে:

ওয়েবে অনেক সাইট এইচটিটিপিএস-এর মাধ্যমে এনক্রিপশনের জন্য কিছু সীমিত সমর্থন সরবরাহ করে, তবে এটি ব্যবহার করা কঠিন করে তোলে। উদাহরণস্বরূপ, তারা এনক্রিপ্ট করা HTTP এ ডিফল্ট হতে পারে বা এনক্রিপ্ট করা সাইটগুলিতে ফিরে যাওয়া লিঙ্কগুলির সাথে এনক্রিপ্ট করা পৃষ্ঠাগুলি পূরণ করতে পারে।

নিরাপদ এইচটিটিপি সংযোগের মাধ্যমে জাভাস্ক্রিপ্ট বা সিএসএস লোড করার মাধ্যমে এইচটিটিপিএস সাইটে সম্ভাব্য এক্সএসএস আক্রমণগুলির কারণে মিশ্র সামগ্রীগুলিও একটি বিশাল সমস্যা ছিল। তাই আজকাল সমস্ত মূলধারার ব্রাউজার ব্যবহারকারীদেরকে মিশ্র সামগ্রীযুক্ত পৃষ্ঠাগুলি সম্পর্কে সতর্ক করে এবং এটি স্বয়ংক্রিয়ভাবে লোড করতে অস্বীকার করে। এটি HTTP- এ পুনঃনির্দেশগুলি ছাড়াই কোনও সাইট বজায় রাখা শক্ত করে তোলে301 : আপনাকে অবশ্যই নিশ্চিত করতে হবে যে প্রতিটি HTTP পৃষ্ঠা কেবলমাত্র HTTP কনট্যাক্ট (সিএসএস, জেএস, চিত্রগুলি ইত্যাদি) লোড করে এবং প্রতিটি এইচটিটিপিএস পৃষ্ঠা কেবলমাত্র HTTPS সামগ্রী লোড করে load উভয় ক্ষেত্রে একই বিষয়বস্তু নিয়ে এটি অর্জন করা অত্যন্ত কঠিন।

এসা জোকিনেন
সূত্র
If your maintainer still would like to allow HTTP connections without direct 301 Moved Permanently, say for ensuring access from some really old browsers or mobile devices, HSTS is the correct choise as it only enforces HTTPS when it is clear that the browser supports itতবে এই ক্ষেত্রে ক্লায়েন্ট (এমনকি এইচটিটিপিএস-সামঞ্জস্যপূর্ণ) কখনই এইচটিটিপিএস সংস্করণ জানতে পারবে না তারা প্রাথমিকভাবে এইচটিটিপি লোড করে।
চিতুলহু
আপনার শেষ অনুচ্ছেদটি আবার দিন: এইচএসটিএস শিরোনামটি এইচটিটিপিএসবিহীন সংযোগের সময় উপেক্ষা করা হবে।
চিতুলহু
1
HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport. If an HTTP response is received over insecure transport, the UA MUST ignore any present STS header field(s). সরঞ্জামস.ইএইটিএফ.আর.জি.এফ.ড্রেড
চতুহুল
আমার মিথ্যা ইঙ্গিতটি দেখানোর জন্য ধন্যবাদ, চথুলহু! সে থেকে অনুপ্রাণিত হয়ে আমি আমার উত্তরে বড় ধরনের উন্নতি করেছি। নতুন বিষয়বস্তুর প্রতি সমালোচনা করতেও দয়া করে স্বাগতম Please :)
এসা জোকিনেন
62

এই দিন এবং যুগে, টিএলএস + এইচএসটিএস হ'ল এমন চিহ্নিতকারী যা আপনার সাইটটি পেশাদারদের দ্বারা পরিচালিত হয় যাদের তারা কী করছে তা জানতে বিশ্বাস করা যায় can এটি বিশ্বস্ততার জন্য একটি উদীয়মান ন্যূনতম-মান, এটি গুগলের দ্বারা প্রমাণিত যে তারা এমন সাইটের জন্য ইতিবাচক র‌্যাঙ্কিং সরবরাহ করবে।

অন্য প্রান্তে সর্বাধিক সামঞ্জস্য। এখনও সেখানে বয়স্ক ক্লায়েন্ট রয়েছে, বিশেষত বিশ্বের বিভিন্ন অংশে যা মার্কিন যুক্তরাষ্ট্র, ইউরোপ বা চীন নয়। সরল এইচটিটিপি সর্বদা কাজ করবে (যদিও সর্বদা ভাল কাজ করে না ; এটি অন্য গল্প)।

TLS এর + + HSTS: সন্ধান-ইঞ্জিন র্যাঙ্কিং জন্য অপ্টিমাইজ করুন
প্লেইন HTTP- র: সামঞ্জস্যের জন্য অপ্টিমাইজ করুন

আপনার জন্য কী বেশি গুরুত্বপূর্ণ তা নির্ভর করে।

sysadmin1138
সূত্র
16
সম্ভবত এটি আমার বাছাইযোগ্য, তবে প্রথম বাক্যটি কিছুটা প্রসারিত বলে মনে হচ্ছে: https হওয়া কোনও সাইট পেশাদারিত্ব বা দায়িত্বে থাকা লোকদের বিশ্বাসযোগ্যতা সম্পর্কে কিছুই বলে না। একটি সাইট https হতে পারে এবং এখনও ইনপুটগুলি স্যানিটাইজ করে না এমন লোকেরা তাদের দ্বারা বিকাশ / পরিচালনা করতে পারে, যা সাইটটি এসকিউএল ইঞ্জেকশন বা এক্সএসএস-এর জন্য দুর্বল করে তোলে; বা এটি https হতে পারে এবং অবৈধ হতে পারে, অ্যাক্সেসযোগ্য নয় বা ব্যবহারযোগ্য না।
আলভারো মন্টোরো
34
এইচটিটিপিএস ব্যবহার পেশাদারিত্বের গ্যারান্টি নয়, তবে এর অভাব অবশ্যই বিপরীতটি জানায়।
এসা জোকিনেন
8
টিএলএস এবং এইচএসটিএস এর ব্যবহার সংকেত, অনেক বড় অ্যারের অংশ, যা সাইটটি পড়ার মতো হতে পারে। অন্যদের মতো নয়, উপস্থিতির জন্য এটি তুচ্ছভাবে পরীক্ষা করা সহজ , তাই গুগল এটিকে বাকীগুলির জন্য প্রক্সি হিসাবে ব্যবহার করছে।
sysadmin1138
3
@ ব্রাইয়াম স্ট্যাক এক্সচেঞ্জ কেবলমাত্র https এ স্থানান্তরিত হচ্ছে এবং খুব শীঘ্রই ঘাটগুলি ব্যবহার শুরু করবে। এইচটিটিপি এখনও সামঞ্জস্যতার কারণে নয়, কারণ তারা ধীর এবং যত্নবান হচ্ছে এবং প্রযুক্তিগতভাবে স্থানান্তরিত করা শক্ত।
2'17 ক্যাপচার্যাগ
4
@ ইজাজহনসন - https- র অভাব অলাভজনকতা প্রদর্শন করে না। এটি দেখায় যে এর কোনও "প্রয়োজন" নেই। উদাহরণস্বরূপ, একটি CentOS আয়না।
ওয়ারেন 18
30

কেবল সহজ ওয়েবসাইটগুলি এইচটিটিপিএস ব্যবহার না করার জন্য একটি সহজ কারণ রয়েছে for

  • ওয়েব ক্যাশে এইচটিটিপিএস-এর মাধ্যমে পরিবহণ করা চিত্রগুলিকে ক্যাশে করতে পারে না।
  • বিশ্বের কিছু অংশে খুব কম গতির আন্তর্জাতিক সংযোগ রয়েছে, তাই ক্যাশে নির্ভর করুন।
  • অন্য ডোমেনের চিত্রগুলি হোস্টিংয়ে এমন দক্ষতা লাগে যা আপনি কেবলমাত্র ছোট পড়া ওয়েবসাইটের অপারেটরদেরই আশা করতে পারবেন না ।
আয়ান রিংরোজ
সূত্র
1
আপনি যদি সেসব দেশগুলিকে লক্ষ্য করে থাকেন তবে কেবল পঠনযোগ্য সামগ্রীগুলি সিডিএন-এ স্থাপন করা যেতে পারে। সিডিএন তাদের নিজস্ব উপায় ব্যবহার করে স্থির সামগ্রীগুলি মিরর করে এবং এখনও এইচটিটিপিএসের মাধ্যমে সেগুলি সরবরাহ করে। সিডিএন সন্ধান করা মোটামুটি সহজ এবং ছোট ওয়েবসাইটগুলির জন্য ব্যবহার করা ব্যয়বহুল নয়।
ম্যাক্সথন চ্যান
8
@ ম্যাক্সথনচান, আমার মাকে সিডিএন কী তা বোঝানোর চেষ্টা করুন ..... তবুও তিনি স্থানীয় গির্জার পরিষেবাগুলির সময়গুলির সাথে একটি ওয়েবসাইট সেটআপ করতে পারেন।
ইয়ান রিংরোজ 19
6
@ মিশেলহ্যাম্পটন কী কীভাবে বিবরণ কী না করে এইচটিটিপিএস স্ট্রিম থেকে চিত্রটি পড়তে পারে? এবং আপনি কি আপনার কী দিয়ে একটি আইএসপি বিশ্বাস করবেন?
ইয়ান রিংরোজ 21
8
আপনি কোন ক্যাশের বিষয়ে কথা বলছেন তা আপনার আরও পরিষ্কার করা উচিত।
মাইকেল হ্যাম্পটন
2
@ আইয়ানআরিংরোজ যদি আপনার মা স্থানীয় গির্জার পরিষেবা তথ্যের সাথে একটি ওয়েবসাইট স্থাপন করছেন, তবে এটি খুব জনপ্রিয় গীর্জা না হলে আন্তর্জাতিক সংযোগগুলিতে ক্যাচিং আচরণ কার্যকর হওয়ার সম্ভাবনা কম।
জেসন সি
14

রক্ষণাবেক্ষণকারী দাবি করেন যে টিএলএস অবশ্যই alচ্ছিক হতে হবে। কেন?

এই প্রশ্নের উত্তরটি সত্যই জানতে, আপনাকে অবশ্যই তাদের জিজ্ঞাসা করতে হবে। আমরা তবে কিছু অনুমান করতে পারি।

কর্পোরেট পরিবেশে, আইটি ফায়ারওয়াল ইনস্টল করা সাধারণ যা ম্যালওয়্যার, সন্দেহজনক সিএনসির মতো কার্যকলাপ, কাজের জন্য অনুপযুক্ত বলে বিবেচিত সামগ্রী (যেমন পর্নোগ্রাফি) ইত্যাদি পরীক্ষা করে etc. মূলত তিনটি সম্ভাব্য প্রতিক্রিয়া রয়েছে:

  1. এই ট্র্যাফিক নিরীক্ষণ ছেড়ে দিন।
  2. ব্যবহারকারীদের মেশিনে একটি রুট সিএ ইনস্টল করুন যাতে আপনি MitM ডিক্রিপশন এবং পরিদর্শন করতে পারেন।
  3. পাইকারি ব্লক এনক্রিপ্ট করা ট্র্যাফিক।

সম্পর্কিত সিসাদমিনের জন্য, এই বিকল্পগুলির কোনওটিই বিশেষভাবে আবেদনকারী নয়। কর্পোরেট নেটওয়ার্ক আক্রমণ করে এমন অনেকগুলি হুমকি রয়েছে এবং তাদের বিরুদ্ধে সংস্থাটিকে রক্ষা করা তাদের কাজ। তবে, দুর্দান্ত অনেকগুলি সাইটকে ব্লক করা পুরোপুরি ব্যবহারকারীদের জ্বালাতনকে বাড়িয়ে তোলে এবং একটি মূল সিএ ইনস্টল করা কিছুটা ঘৃণ্য বোধ করতে পারে, কারণ এটি ব্যবহারকারীর জন্য গোপনীয়তা এবং সুরক্ষা বিবেচনা প্রবর্তন করে। আমার মনে আছে (দুঃখিত, থ্রেডটি খুঁজে পাচ্ছেন না) সিসাদমিন পিটিশন reddit দেখছিল যখন তারা প্রথম এইচএসটিএস চালু করছিল কারণ তিনি ঠিক এই পরিস্থিতিতে ছিলেন, এবং কেবল কারণেই তিনি ব্যবসায়ের দ্বারা বাধ্য হয়েছিলেন বলে সমস্ত reddit ব্লক করতে চাননি পর্ন-কেন্দ্রিক সাব-ডিগ্রিডিটকে ব্লক করতে

প্রযুক্তির চাকাগুলি সামনে মন্থন রাখে, এবং আপনি এমন অনেক লোক খুঁজে পাবেন যা এই যুক্তি দেয় যে এই ধরণের সুরক্ষাটি পুরানো ed তবে এখনও অনেকে আছেন যারা এটি অনুশীলন করেন এবং সম্ভবত এটিই তাদের সাথে আপনার রহস্যময় রক্ষণাবেক্ষণকারী উদ্বিগ্ন।

জিওনগ চিয়ামিভ
সূত্র
ফ্রন্টএন্ড সার্ভার / লোড ব্যালেন্সার / অনুরূপ এসএসএল বন্ধ করার পরে এবং ট্র্যাফিক লগইন সম্পর্কে কীভাবে?
eis
1
@ আইস এটি ধরে নিয়েছে যে সংস্থাটি কর্মচারীদের যে কোনও ওয়েবসাইট পরিদর্শন করতে পারে এমন সমস্ত ওয়েবসাইট নিয়ন্ত্রণ করে, এটি অসম্ভব। পোস্টটি কোনও ইন্ট্রানেট ওয়েবসাইটে টিএলএস সম্পর্কে বলে মনে হচ্ছে না।
জিয়াং চিয়ামিভ 16
5

এটি আপনার সুরক্ষা প্রয়োজনীয়তা, ব্যবহারকারীর পছন্দ এবং অন্তর্নিহিত ডাউনগ্রেডিংয়ের ঝুঁকিতে নেমে আসে। পুরানো সাইফার সার্ভার-সাইডটি অক্ষম করা মূলত প্রয়োজনীয় কারণ ব্রাউজারগুলি সুখে ব্যবহারকারীর অভিজ্ঞতা / সুবিধার নামে একেবারে ভয়াবহ সাইফার ক্লায়েন্ট-সাইডে নেমে আসবে। কোনও সুরক্ষিত চ্যানেলের উপর নির্ভর করে ব্যবহারকারীর কাছে নির্ভর করে এমন কোনও কিছুই আপনার কাছে কোনও সুরক্ষিত পদ্ধতিতে পৌঁছানো যাবে না তা অবশ্যই খুব দুর্দান্ত।

আমি যখন বুঝতে পেরেছি যে আপনার ব্লগ পোস্টটি রুবির চেয়ে পাইথনকে কেন বেশি পছন্দ করে (আপনি বলছেন না, কেবল একটি জেনারিক উদাহরণ) তবে আমি স্পষ্টতই অনিরাপদ এইচটিটিপি-তে ডাউনগ্রেড না করার অনুমতি দিচ্ছি না বা জনসাধারণের জ্ঞান এইচটিটিপিএস আমার পক্ষে তুচ্ছ হবে এই ধারণায় আমি অ্যাক্সেস পেয়েছি ঠিক কোনও কারণ ছাড়াই আমার পথে চলেছি।

আজ, এম্বেড থাকা সিস্টেমগুলি রয়েছে যা বাক্সের বাইরে টিএলএস ব্যবহার করার ক্ষমতা রাখে না বা পুরানো বাস্তবায়নে আটকে আছে (আমি মনে করি এটি অত্যন্ত খারাপ যে, তবে এম্বেড থাকা সন্নিবেশ হিসাবে একটি শক্তি ব্যবহারকারী হিসাবে) ডিভাইস এখানে], আমি কখনও কখনও এটি পরিবর্তন করতে পারি না)।

এখানে একটি মজাদার পরীক্ষা: পর্যাপ্ত পুরানো টিএলএস / এসএসএল বাস্তবায়ন সহ এইচটিটিপিএসের মাধ্যমে উজানের ওপেনবিএসডি সাইট থেকে লিব্রেএসএসএল এর সাম্প্রতিক সংস্করণটি ডাউনলোড করার চেষ্টা করুন। আপনি পারবেন না। আমি অন্য দিন 2012 বা তার থেকে পুরানো ওপেনএসএসএল বিল্ড সহ একটি ডিভাইসে চেষ্টা করেছি, কারণ আমি এই এমবেডেড সিস্টেমটিকে উত্স থেকে নতুন সুরক্ষিত, নতুন স্টাফগুলিতে আপগ্রেড করতে চেয়েছিলাম - আমার কাছে প্রাক-বিল্ট প্যাকেজের বিলাসিতা নেই। আমি চেষ্টা করার সময় ত্রুটি বার্তাগুলি হুবহু স্বজ্ঞাত নয়, তবে আমি ধারণা করি এটি আমার পুরানো ওপেনএসএসএল সঠিক জিনিসগুলি সমর্থন করে নি।

এটি এমন একটি উদাহরণ যেখানে একমাত্র এইচটিটিপিএস আসলে লোকদের ক্ষতি করতে পারে: যদি আপনার সাম্প্রতিক প্রাক-বিল্ট প্যাকেজগুলির বিলাসিতা না থাকে এবং উত্স থেকে বিল্ডিং করে নিজেই সমস্যাটি সমাধান করতে চান, আপনি লক আউট হয়ে গেছেন। ধন্যবাদ, LibreSSL ক্ষেত্রে, আপনি স্পষ্টভাবে এইচটিটিপি অনুরোধ করতে ফিরে যেতে পারেন। নিশ্চিত, এটি আপনাকে কোনও ট্র্যাফিক ইতিমধ্যে আপনার ট্র্যাফিকের পুনর্লিখনের হাত থেকে রক্ষা করবে না, আপনি যে ব্রাউজগুলি ব্রাউজ করেন সেগুলিতে ডাউনলোডের জন্য উপলব্ধ প্যাকেজগুলির বিবরণ দিতে HTTP সংস্থায় সমস্ত চেকসাম পুনরায় লেখার জন্য উত্স প্যাকেজগুলি পুনরায় লেখায় সক্ষম, তবে এটি এখনও বেশিরভাগ ক্ষেত্রেই কার্যকর আরও সাধারণ ক্ষেত্রে।

আমাদের বেশিরভাগই কোনও এপিটি (অ্যাডভান্সড পার্সেন্টিস্ট থ্রেড: জাতীয় গোয়েন্দা সংস্থাগুলির সুরক্ষা এবং অন্যান্য অত্যন্ত সুসম্পর্কিত সাইবার হুমকি) এর মালিকানা থেকে দূরে নেই। কখনও কখনও আমি wgetকিছু সাধারণ টেক্সট ডকুমেন্টেশন বা একটি ছোট প্রোগ্রাম চাই যাঁর উত্সটি আমি দ্রুত অডিট করতে পারি (উদাহরণস্বরূপ গিটহাবের আমার নিজস্ব ছোট ছোট ইউটিলিটিস / স্ক্রিপ্টস) এমন একটি বাক্সে যা সাম্প্রতিক সাইবার স্যুটগুলি সমর্থন করে না support

ব্যক্তিগতভাবে, আমি এটি জিজ্ঞাসা করব: আপনার বিষয়বস্তু কি এমন যে কোনও ব্যক্তি বৈধভাবে সিদ্ধান্ত নিতে পারে "জনসাধারণের জ্ঞান হওয়ার কারণে আমি ঠিক আছি?" অ-প্রযুক্তিগত লোকেরা ঘটনাক্রমে আপনার সামগ্রীর জন্য এইচটিটিপিতে ডাউনগ্রেডের পক্ষে ঝুঁকি নেওয়ার কোন সম্ভাবনা আছে? আপনার সুরক্ষা প্রয়োজনীয়তা, আপনার ব্যবহারকারীর জন্য প্রাইভেসি-প্রাইভেসি-ওজন এবং ভারসাম্যহীন ডাউনগ্রেডের ঝুঁকি যে ব্যবহারকারীরা কেস-বাই-কেস বেসরকারিভাবে অনিরাপদ হওয়ার জন্য যে কোনও ঝুঁকি বুঝতে পারে তা বুঝতে সক্ষম হয়ে ওঠার ক্ষমতাকে বোঝায়। এটি সম্পূর্ণরূপে বৈধ যে আপনার সাইটের জন্য, এইচটিটিপিএস প্রয়োগ না করার কোনও ভাল কারণ নেই - তবে আমি মনে করি এটা ঠিক যে এখানে সরল এইচটিটিপি-র জন্য এখনও ভাল ব্যবহারের কেস নেই say

mtraceur
সূত্র
1
"পর্যাপ্ত পুরানো টিএলএস / এসএসএল প্রয়োগের সাথে এইচটিটিপিএস-এর উপরে উজানের ওপেনবিএসডি সাইট থেকে লিব্রেএসএসএল এর একটি সাম্প্রতিক সংস্করণ ডাউনলোড করার চেষ্টা করুন" অবশ্যই এর পুস্তকটি হ'ল: যথেষ্ট পুরানো ব্রাউজার সহ সাম্প্রতিক ব্রাউজারটি ডাউনলোড করার চেষ্টা করুন, উদাহরণস্বরূপ যেটি কেবল প্রয়োগ করে HTTP / 1.0 Host:শিরোনাম সমর্থন ছাড়াই । বা ওয়েব ব্রাউজারের সাহায্যে আধুনিক সাইটগুলি সার্ফিংয়ের চেষ্টা করুন যা কেবলমাত্র 2001 এর জাভাস্ক্রিপ্ট সমর্থন করে some এক পর্যায়ে আমাদের সম্প্রদায় হিসাবে চলতে হবে, যা দুর্ভাগ্যক্রমে কারওর জন্য কিছুকে ভেঙে দেয়। তাহলে প্রশ্নটি হয়ে ওঠে: যুক্ত হওয়া মূল্যটি কি ভাঙ্গার মূল্য?
একটি সিভিএন
@ মাইকেলKjörling এগুলিও বিভিন্ন সমস্যা এবং তীব্রতা are আমি সেই তালিকায় সাম্প্রতিক সংকলক সংস্করণগুলি যুক্ত করব। কিছু অন্যদের চেয়ে বেশি ডিফেন্সেবল। আমি নিশ্চিত নই যে আপনি মতবিরোধের পক্ষে অবস্থান নিচ্ছেন বা আপনি যদি থাকেন তবে কেন: আমার পোস্টের দ্বিতীয় বাক্যে, আমি সম্মত হই যে এইচটিটিপিএস সংযোগে পুরানো সাইফারদের প্রতিরোধ করা ন্যায়সঙ্গত, যেহেতু এটি বেশিরভাগ ব্যবহারকারীদের ডাউনগ্রেড আক্রমণ থেকে রক্ষা করে ' d অন্যথায় এর বিরুদ্ধে কোনও অর্থবহ দৃশ্যমানতা বা প্রতিরক্ষা নেই। (আমি মনে করি না যে বেশিরভাগ আধুনিক ওয়েবসাইটগুলি
কৃপণভাবে
@ মাইকেলকার্জলিং স্পষ্ট করে বলতে গেলে, এটি সামনে আনার বিষয়টি কারণ এটি যেখানে উদাহরণস্বরূপ ব্যবহারকারীকে সরল এইচটিটিপি সরবরাহ করার একটি স্পষ্ট সুবিধা ছিল, যা প্রশ্নের উত্তর দেওয়া হচ্ছে তার মূল বিষয় ছিল। ওপেনবিএসডি / লিব্রেএসএসএল প্রকল্পগুলিতে কোনও নেতিবাচক আলোকপাত করা কোনওভাবেই হয়নি, যার জন্য আমার বেশ যথেষ্ট সম্মান রয়েছে। আমি ভেবেছিলাম প্রথম অনুচ্ছেদের দ্বিতীয় বাক্যটি এরকম নেতিবাচক ব্যাখ্যা বাতিল করে দেবে। আপনি যদি মনে করেন এটি অস্পষ্ট ছিল বা আরও ভাল শব্দ বলা যেতে পারে তবে দয়া করে আমার উত্তরটি সম্পাদনা করতে বা উন্নতির পরামর্শ দিতে দ্বিধা বোধ করবেন।
mtraceur
3

টিএলএস কেন ভাল তা নিয়ে এখানে প্রচুর আলোচনা রয়েছে - তবে এটি আসল পোস্ট হিসাবে কখনও জিজ্ঞাসা করা হয়নি।

ম্যাক্সথন 2 টি প্রশ্ন জিজ্ঞাসা করেছেন:

1) কেন এলোমেলো, নামবিহীন সাইট দুটি HTTP এবং https উপস্থাপনা বজায় রাখার সিদ্ধান্ত নিয়েছে

2) ম্যাক্সথনের HTTP অনুরোধগুলিতে কেবল 301 টি প্রতিক্রিয়া পরিবেশন করে এমন কোনও নেতিবাচক প্রভাব রয়েছে?

প্রথম প্রশ্নটি সম্পর্কে, আমরা জানি না যে সরবরাহকারীরা কেন HTTP এবং https উভয় সাইট ধরে রাখতে বেছে নিয়েছে। এর অনেক কারণ থাকতে পারে। সামঞ্জস্যতা, বিতরণ করা ক্যাচিং এবং ভূ-রাজনৈতিক অ্যাক্সেসিবিলিটি সম্পর্কে কিছু ইঙ্গিতগুলির সাথে সম্পর্কিত বিষয়বস্তু ছাড়াও, বিষয়বস্তু একীকরণ এবং কন্টেন্টটি সুরক্ষিত হওয়ার বিষয়ে কুৎসিত ব্রাউজার বার্তাগুলি এড়ানো সম্পর্কেও বিবেচনা রয়েছে। আলভারো যেমন উল্লেখ করেছেন, সুরক্ষার বিষয়ে টিএলএস হ'ল আইসবার্গের মূল অংশ।

দ্বিতীয় প্রশ্নটি অবশ্য উত্তরযোগ্য। সুরক্ষিত অপারেশনের জন্য যখন https প্রয়োজন হয় তখন আপনার ওয়েবসাইটের কোনও সাইটের কোনও অংশ HTTP- র মাধ্যমে এক্সপোজ করা আক্রমণগুলির জন্য একটি শোষক ভেক্টর সরবরাহ করে। তবে আপনার সাইটে 80 টি পোর্টে ট্র্যাফিক কোথায় ভুলভাবে নির্দেশিত হচ্ছে এবং কারণটি ঠিক করার জন্য এটি এটি বজায় রাখতে কিছুটা অর্থবোধ করে না। যেমন একটি নেতিবাচক প্রভাব এবং ইতিবাচক প্রভাবের সুযোগ উভয়ই রয়েছে, নেট ফলাফল আপনি প্রশাসক হিসাবে আপনার কাজ করছেন কিনা তার উপর নির্ভর করে।

Sysadmin1138 বলেছে যে https এসইও র‌্যাঙ্কিংকে প্রভাবিত করে। যদিও গুগল জানিয়েছে যে এটি র্যাঙ্কিংয়ের উপর প্রভাব ফেলে, কেবলমাত্র নির্ভরযোগ্য স্টাডিজই আমি দেখেছি যে পার্থক্যটি ছোট। এটি এমন লোকেদের সাহায্য করা যায় না যাদের পক্ষে আরও ভাল দাবি করা উচিত , যেহেতু শীর্ষ স্থানের সাইটগুলিতে https উপস্থিতি বেশি থাকে তাই একটি https উপস্থিতি তাই র‌্যাঙ্কিংয়ের উন্নতি করে।

symcbean
সূত্র
1

অতীতে, আমাকে এইচটিটিপিএসের পরিবর্তে এইচটিটিপি ব্যবহার করতে হয়েছিল কারণ আমি <embed>অন্য কোথাও যে পৃষ্ঠাগুলি এইচটিটিপি-র মাধ্যমে পরিবেশন করা হয়েছিল সেগুলিতে যেতে চেয়েছিলাম এবং তারা অন্যথায় কাজ করবে না।

অ্যালজি টেলর
সূত্র
আপনি আপনার সার্ভারটি কোনও এসএসএল সংস্করণের প্রক্সি বিপরীত করতে ব্যবহার করতে পারেন।
ম্যাক্সথন চ্যান
1

এটি কোনও ভাল কারণ নয়, কারণ এটির অর্থ আপনার খারাপ / ভাঙ্গা / অনিরাপদ ক্লায়েন্ট রয়েছে তবে বিদ্যমান http://ইউআরএলগুলির মাধ্যমে যদি অটোমেটিক প্রক্রিয়াগুলি রিসোর্সগুলিতে অ্যাক্সেস করে থাকে তবে সম্ভবত কিছু তাদের https (যেমন ব্যস্তবক্স উইজেট, সমর্থন করে না) সমর্থন করে না possible অভ্যন্তরীণভাবে টিএলএস সমর্থন না করে এবং কেবলমাত্র একটি ওপেনসেল চাইল্ড প্রক্রিয়াটির মাধ্যমে এটি সম্প্রতি যুক্ত করেছে) এবং যদি তারা কোনও https url এ পুনর্নির্দেশ দেওয়া হয় যা তারা অনুসরণ করতে পারে না break

আমি অজানা (বা পরিচিত-উত্তরাধিকারী) ব্যবহারকারী-এজেন্ট স্ট্রিংগুলি পুনঃনির্দেশিত হওয়া থেকে বাদ দেওয়ার জন্য পুনর্নির্দেশের নিয়মটি লিখে এই সম্ভাবনাটি মোকাবেলা করার জন্য প্রলুব্ধ হব এবং তারা চাইলে HTTP- র মাধ্যমে সামগ্রীটি অ্যাক্সেস করতে দেবে, যাতে প্রকৃত ব্রাউজারগুলি সমস্ত উপকার করতে পারে জোর করে https / hosts sts

আর ..
সূত্র
1
আমাকে স্মরণ করিয়ে দিন যে কত দশক আগে কোনও ভাল রক্ষণাবেক্ষণ করা সরঞ্জাম (যেমন উইজেট) এইচটিটিপিএস সমর্থন করে না?
ওলেগ ভি। ভোলকভ 10
@ ওলেগভি.ভোলকভ: আমার মনে হয় আপনি আমার উত্তরে ব্যস্তবক্স শব্দটি মিস করেছেন।
আর ..
এটি পরীক্ষা করে দেখুন - ভাল, এখন আমি দেখছি। আমি সত্যিই পাই না কেন তবে কেবল জঘন্য জিনিসটি তৈরি করতে পারি না এবং তারপরে প্যাকেজ বিল্ড সরঞ্জামগুলি না করে যাই হোক না কেন। ফিরে চিন্তা করে আমি আরও কিছু ক্ষেত্রে মনে পড়লাম যখন লোকেরা সরিয়ে ফেলা বা পুরানো সরঞ্জামগুলিতে সীমাবদ্ধ ছিল এবং সরল এইচটিটিপি রাখা ভাল হবে। আপনি দয়া করে ক্যাপগুলি ঠিক করতে পারেন যাতে আমি সম্পাদনার পরেও ভোটটি ফিরিয়ে দিতে পারি?
ওলেগ ভি। ভলকভ
1

কোনও ওয়েবসাইটে এইচটিটিপিএসের পরিবর্তে এইচটিটিপি ব্যবহারের খুব ভাল কারণ রয়েছে। যদি আপনার ওয়েবসাইট কোনও ধরণের লেনদেন পরিচালনা করে বা কোনও ধরণের সংবেদনশীল বা ব্যক্তিগত ডেটা সঞ্চয় করে, আপনি যদি ডেটা সুরক্ষিত রাখতে চান তবে আপনাকে অবশ্যই HTTPS অবশ্যই ব্যবহার করতে হবে। এইচটিটিপিএস প্রয়োগ না করার জন্য আমি কেবলমাত্র শালীন কারণটি দেখতে পাচ্ছি যদি আপনার ওয়েবসাইটটি এইচটিটিপিএস ক্যাচিংয়ের সাথে কাজ না করে তবে ক্যাশে নির্ভর করে। যাইহোক, আপনার ওয়েবসাইটের সুরক্ষা নিশ্চিত করার জন্য এটি প্রায়শই কিছুটা পারফরম্যান্স ত্যাগ করার মতো। এটিও সম্ভব যে আপনার ক্লায়েন্টরা এইচটিটিপিএসকে সমর্থন নাও করতে পারে, তবে সত্যই, 2017 সালে, তাদের উচিত।

কেন
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.