এখনই এসএসএল ব্যবহারের জন্য বাধ্য?


22

আমি নিরাপদে ওয়েবসাইট দেখার জন্য এসএসএলকে স্ট্যান্ডার্ড অনুশীলন হিসাবে ব্যবহার করতে শুরু করে বেশিরভাগ ওয়েবসাইট দেখতে শুরু করছি এখন যে এনএসএ নজরদারি চলছে সে সম্পর্কে অ্যাডওয়ার্ড স্নোডেনের প্রকাশের জন্য ধন্যবাদ।

সুরক্ষা, দেখার জন্য, অর্থ প্রদানের জন্য এবং যে কোনও জায়গায় এসএসএল ব্যবহার করার জন্য সমস্ত ওয়েবসাইট তৈরি করার জন্য আমাদের কী এটি একটি ওয়েব স্ট্যান্ডার্ড করা উচিত?

আমি একটি সাধারণ ব্যক্তিগত ব্লগের মালিক, এবং আমার কাছে লোকেরা বলেছে যে এনএসএ সম্পর্কিত বিষয়ে আমার মতামত, উদ্বেগ এবং ধারণাগুলির কথা বলার কারণে আমার এটি ব্যবহার করা দরকার, এবং তারা বলে যে তারা এইচটিটিপিএস ছাড়াই কম সুরক্ষিত বোধ করতে শুরু করেছে ...


3
কেবল ওয়েবে এনক্রিপ্ট হওয়া ট্র্যাফিকের পরিমাণ বাড়ানোর জন্য টিএলএস সরবরাহের কথা বিবেচনা করুন যাতে দূষিত লোকদের ষড়যন্ত্রমূলক এবং বিরক্তিকর ট্র্যাফিককে আলাদা করে বলা শক্ত হয়ে যায়।
ম্যাক্স রেড

উত্তর:


5

আকর্ষণীয় প্রশ্ন। তবে, সুস্পষ্ট উত্তরটি হ'ল যদি আমি কোনও ব্রাউজারের সাথে কোনও ওয়েবসাইট পেতে পারি, তবে এনএসএ এটিও পেতে পারে। আমি এটিতে স্মার্ট প্যান্ট হওয়ার চেষ্টা করছি না। অ্যাকাউন্ট লগইন, অর্থ প্রদান ইত্যাদির জন্য এসএসএল ব্যবহার করা উচিত, কাজের স্বাভাবিক কোর্স হিসাবে এটি প্রয়োজনীয় নয়।

এটি বলার পরে, আমি এই উত্তরটি বোঝায় তার চেয়ে বেশি এসএসএলকে সমর্থন করি। আপনি যদি একজন ব্লগার হন তবে আমি এসএসএল ব্যবহার করব না। আপনি যদি কিছু নির্দিষ্ট পরিস্থিতিতে এমনকি আপনার ব্যক্তিগতত্বের কথাও বলতে থাকেন তবে কে এটি দেখতে পারে তার আরও ভাল নিয়ন্ত্রণ করার জন্য আপনার এটি পোস্ট করা বা লগিনের পিছনে রাখা উচিত নয়।

মনে রাখবেন যে ওয়েবটি একটি মুক্ত যোগাযোগের বাহন। এটি নকশা এবং এই দিকে গিয়ার্ড। ব্যক্তিগত যোগাযোগের যানবাহনগুলি কাদের সাথে যোগাযোগ করে এবং তথ্য ভাগ করে নিয়ে যায় তা নিয়ে বিতর্কিত হয় না এবং সুরক্ষিত যোগাযোগগুলি নিশ্চিত করার জন্য প্রায়শই অসংখ্য সুরক্ষা স্কিম মোতায়েন করে। ওয়েবটি কোনও ক্লায়েন্টের সাথে সহজে এবং বেনামে সংযোগ করার জন্য এবং এটিতে থাকা সমস্ত বা প্রায় সমস্ত তথ্য ভাগ করে নেওয়ার জন্য ডিজাইন করা হয়েছে। হ্যাঁ ওয়েব পয়েন্টগুলিকে কোনও বিন্দুতে সুরক্ষিত করার বিকল্প রয়েছে তবে যাইহোক, এটি যা আছে তার প্রকৃতির কারণে এটি সর্বদা সীমাবদ্ধ থাকবে।


তোমার একটা কথা আছে এসএসএল শংসাপত্রটি তাদের দর্শনার্থী হওয়ার জন্য লোকজনকে "তালিকায়" রাখা থেকে বিরত রাখে কারণ আমি সত্য বলছি এবং তাদের ক্রিয়াকলাপগুলি বিশ্লেষণ করছি এবং তাদেরকে জাহান্নামে

ঠিক আছে. আমি আপনাকে একটি গোপনে প্রবেশ করতে দেব। আমি বড় টেলিকমগুলির জন্য একটি আধা-অবসরপ্রাপ্ত পরামর্শদাতা। কোনও এনক্রিপ্ট করা প্যাকেট নেই যা আমরা ডিক্রিপ্ট করতে পারি নি। এটির জন্য বিশেষ সরঞ্জামগুলির প্রয়োজন ছিল, তবে এটি ছিল সরঞ্জামগুলি সহজেই পাওয়া যায়। ডাবল-এনক্রিপ্ট করা যোগাযোগ সহ এনক্রিপশনে আমাদের স্নিফারগুলিকে খুব কমই সমস্যা হয়েছিল। স্বীকৃতভাবে এই দিনগুলি আরও কঠিন হতে পারে। পাশাপাশি, আমি ডিওডি কাজের সাথে নেভাল ইন্টেলকে অগ্রাধিকার দেব। আমি নিশ্চিত যে এনএসএ যদি আপনার এনক্রিপ্ট করা যোগাযোগগুলি দেখতে চায় তবে তারা পারে। এখন আমি আপনাকে বলব যে সাধারণত, আপনি যতক্ষণ কোনও সন্ত্রাসীর সাথে কথা বলছেন না, ততক্ষণ তারা কী বলছে সে বিষয়ে তাদের কোন চিন্তা নেই।
ক্লোজটনোক

আমার কাছে এটি ঘটেছিল যে আমার বলা উচিত যে এনএসএ যা করছে তা আমি পছন্দ করি না বা আমার পক্ষে এটি সঠিক বলেও মনে হয় না। এইটা না. আমি ট্র্যাফিক বোঝা এমনটিও উল্লেখ করতে চাই যে তারা সব কিছু দেখতে পারে না বা চেষ্টাও করে না। যেটি সম্ভবত তাদের পক্ষে সবচেয়ে গুরুত্বপূর্ণ তা হ'ল প্যাকেট শিরোনাম সম্পর্কিত তথ্য যা কোনও প্যাকেট পরীক্ষা করার আগে সন্দেহজনক বিন্দুতে যোগাযোগ নির্দেশ করে। অতএব, আপনার ব্লগে যে কেউই যেতে পারে সম্ভবত এটি শুকানো হবে না যতক্ষণ না এটি ওসামার পুনর্জন্ম হয় বা সম্ভবত তার কাজিন। (রসবোধ)
ক্লোজটোনক

তারপরে এসএলএল আপনার এবং আপনার দক্ষতার সাথে যে কারও দ্বারা আপোস করা হবে, এটিই আমি এইভাবে নিচ্ছি ... প্লাস এডওয়ার্ড স্নোডেনের প্রকাশনা এবং কী প্রকাশিত হয়েছিল তার মানে এই নয় যে তারা আমাদের সম্পর্কে সমস্ত কিছু রেকর্ড করছে, যখন এটি বলে যে তারা? অথবা এনএসএ যা করেছে এবং করছে তা আমার নিজের জন্য এই ফাঁসগুলি পড়া সঠিক নয়?

শেষ কয়েকটি প্রশ্নের জন্য দুঃখিত। এই সমস্ত জিনিস যা ঘটছে তার সাথে বোঝাপড়া করার মতো অনেক কিছুই রয়েছে।

6

এইচটিটিপিএস তিনটি জিনিস অর্জন করতে পারে:

  • সত্যতা । আপনি প্রকৃত ডোমেন মালিকের সাথে যোগাযোগ করছেন তা নিশ্চিত করা।
  • গোপনীয়তা । নিশ্চিত করা হচ্ছে যে কেবলমাত্র এই ডোমেনের মালিক এবং আপনি যোগাযোগটি পড়তে পারেন।
  • আন্তরিকতা । সামগ্রীটি অন্য কারও দ্বারা সংশোধিত হবে না তা নিশ্চিত করা।

সম্ভবত সকলেই সম্মত হন যে গোপন সংক্রমণ করার সময় (যেমন পাসওয়ার্ড, ব্যাংকিং ডেটা ইত্যাদি) এইচটিটিপিএস বাধ্যতামূলক হওয়া উচিত।

তবে আরও বেশ কয়েকটি ক্ষেত্রে রয়েছে যেখানে এবং কেন এইচটিটিপিএস ব্যবহার উপকারী হতে পারে:

আক্রমণকারীরা অনুরোধ করা সামগ্রীর সাথে হস্তক্ষেপ করতে পারে না।

এইচটিটিপি ব্যবহার করার সময়, শ্রবণশক্তিগুলি আপনার ওয়েবসাইটগুলিতে আপনার দর্শনার্থীরা যে সামগ্রী দেখেন তা হেরফের করতে পারে। উদাহরণ স্বরূপ:

  • ডাউনলোডের জন্য আপনি যে সফ্টওয়্যারটি সরবরাহ করেন তাতে ম্যালওয়্যার সহ
  • আপনার কিছু সামগ্রী সেন্সর করছে। আপনার মতামত প্রকাশ করে।
  • ইনজেকশন বিজ্ঞাপন।
  • আপনার অনুদানের অ্যাকাউন্টের ডেটা তাদের নিজস্ব দিয়ে প্রতিস্থাপন করা।

অবশ্যই এটি আপনার ব্যবহারকারীদের পাঠানো সামগ্রীর ক্ষেত্রেও প্রযোজ্য, উদাহরণস্বরূপ উইকি সম্পাদনা। তবে, যদি আপনার ব্যবহারকারীরা বেনামে থাকেন তবে আক্রমণকারী কোনওভাবেই ব্যবহারকারী হিসাবে "অনুকরণ" করতে পারে (আক্রমণকারী যদি বট না হয় এবং কিছু কার্যকর ক্যাপচা বাধা না থাকে)।

আক্রমণকারীরা অনুরোধ করা সামগ্রীটি পড়তে পারে না।

এইচটিটিপি ব্যবহার করার সময়, শ্রবণশক্তিরা জানতে পারে যে আপনার হোস্টে কোন পৃষ্ঠাগুলি / সামগ্রী আপনার দর্শকদের অ্যাক্সেস করতে পারে। যদিও বিষয়বস্তু নিজেই সর্বজনীন হতে পারে তবে একটি নির্দিষ্ট ব্যক্তি এটি যে জ্ঞান গ্রহণ করে তা সমস্যাযুক্ত:

  • এটি সোশ্যাল ইঞ্জিনিয়ারিংয়ের জন্য আক্রমণ আক্রমণকারী ভেক্টর খোলে ।
  • এটি গোপনীয়তা লঙ্ঘন করে।
  • এটি নজরদারি এবং শাস্তি (কারাবাস, নির্যাতন, মৃত্যুর অবধি) হতে পারে।

অবশ্যই এটি আপনার ব্যবহারকারীদের পাঠানো সামগ্রীর ক্ষেত্রেও প্রযোজ্য, উদাহরণস্বরূপ কোনও যোগাযোগের ফর্মের মাধ্যমে মেল।


যা যা বলেছিল, কেবলমাত্র HTTP এর সাথে এইচটিটিপিএসের প্রস্তাব দিলে কেবল ব্যবহারকারীরা সুরক্ষিত করতে পারে (বা স্থানীয়ভাবে প্রয়োগ করা হয়, যেমন এইচএসটিএস সহ ) যা তারা এটি ব্যবহার করছে। আক্রমণকারীরা অন্য সমস্ত দর্শনার্থীদের (দুর্বল) এইচটিটিপি ভেরিয়েন্টটি ব্যবহার করতে বাধ্য করতে পারে।

সুতরাং আপনি যদি এই সিদ্ধান্তে পৌঁছে যান যে আপনি এইচটিটিপিএস অফার করতে চান তবে আপনি এটি প্রয়োগের বিষয়টি বিবেচনা করতে পারেন (সার্ভার-সাইডটি HTTP থেকে HTTPS এ পুনর্নির্দেশ, HSTS শিরোনাম প্রেরণ করুন)।


1
আমার ইনফরমেশন সাইটের এসএসএলে স্যুইচ করার জন্য কেবল বিজ্ঞাপনের ইনজেকশনটি এড়িয়ে যাওয়া যথেষ্ট।
বিল রুপার্ট

4

নির্জনতা

যেহেতু আপনার সামগ্রীটি সর্বজনীন, এইচটিটিপিএস স্পষ্টতই এটি আড়াল করবে না, তবে এটি আপনার সাইটের প্রকৃতির উপর নির্ভর করে কিছু সুবিধা দিতে পারে।

গোপনীয়তা

যখন কেউ এইচটিটিপিএস-এর মাধ্যমে কোনও পৃষ্ঠার জন্য অনুরোধ করে, অনুরোধটি এনক্রিপ্ট করা হয়, তাই যদি কেউ আপনার দর্শনার্থীদের দেখছে তবে তারা জানতে পারবে না যে তারা কোন পৃষ্ঠাগুলির জন্য অনুরোধ করেছেন। দুর্ভাগ্যক্রমে, ডিএনএস (আপনার ওয়েবসাইটের ডোমেন নামের উপর ভিত্তি করে আইপি ঠিকানা পাওয়ার জন্য সিস্টেম) এনক্রিপ্ট করা হয়নি, তাই কোন পর্যবেক্ষক এখনও সনাক্ত করতে পারবেন যে আপনার ওয়েবসাইটে কে ভিজিট করে। এমনকি এটি এনক্রিপ্ট করা থাকলেও, বেশিরভাগ ক্ষেত্রেই আপনি এখনও বলতে পারবেন যে কেউ আইপি অ্যাড্রেসের ভিত্তিতে কোন ওয়েবসাইটটি ভিজিট করছে, যা ইন্টারনেটের বর্তমান নকশায় লুকানো যায় না।

উইকিপিডিয়া এইচটিটিপিএস সরবরাহ করে, যা আপনার মনে হতে পারে অর্থহীন কারণ সামগ্রীগুলি প্রকাশ্য, তবে এটি করে তারা তাদের ব্যবহারকারীদের সুরক্ষা দেয়: কেউ যদি উইকিপিডিয়াতে (এইচটিটিপিএস ব্যবহার করে) "অবৈতনিক" জিনিসগুলি খুঁজছেন, তাদের সরকার কোন পৃষ্ঠাগুলি তারা বলতে পারবেন না তারা 'পড়ছি, কেবল তারা উইকিপিডিয়ায় রয়েছে। টুইটার হ'ল বিষয়বস্তু নিজেই প্রকাশিত হওয়ার অন্য একটি বিষয়, তবে লোকেদের প্রয়োজন হয় না যে তারা অন্যান্য লোকেরা এটিতে কী করছে।

পাসওয়ার্ড সুরক্ষা

আপনি এইচটিটিপিএস বিবেচনা করতে চাইতে পারেন এমন অন্যান্য প্রধান কারণ হ'ল যদি আপনার কোনও লগইন পৃষ্ঠাগুলি বা এমন কোনও জায়গা থাকে যেখানে আপনি ব্যবহারকারীদের থেকে ব্যক্তিগত ডেটা গ্রহণ করেন (নিজেকে সহ)। আপনি যদি এইচটিটিপিএসকে সমর্থন না করেন তবে পাসওয়ার্ড এবং অন্যান্য তথ্য "ক্লিয়ার ইন" প্রেরণ করা হবে এবং যে কেউ নেটওয়ার্কের ডেটা পড়তে পারে সেগুলি সেগুলি দেখতে পাবে (ভীতিজনক কেসটি একই ওয়াইফাই নেটওয়ার্কের অন্যান্য লোক হিসাবে ব্যবহৃত হত; এখন এটিতে ব্ল্যাকমেল সামগ্রী সন্ধানকারী বিভিন্ন সরকারী সংস্থা অন্তর্ভুক্ত রয়েছে)।

আপনি যদি লগইন পৃষ্ঠায় কেবল এইচটিটিপিএস সমর্থন করেন তবে অন্য কোথাও নয়, একজন চালাক আক্রমণকারী লগইন পৃষ্ঠা ব্যতীত প্রতিটি পৃষ্ঠাকে বাধা দেবে এবং এইচটিটিপিএস ব্যবহার না করার জন্য "লগইন" লিঙ্কটি পরিবর্তন করবে, এবং আপনার যোগাযোগকে বিরত করবে (এবং যদি আপনি সেই পৃষ্ঠাটি জোর করে থাকেন) এইচটিটিপিএস-এ, তারা কেবল ট্র্যাফিককে বাধা দিতে পারে এবং এটির একটি জাল সংস্করণ সরবরাহ করতে পারে)। আপনি লগ ইন করার আগে সর্বদা আপনার ইউআরএল বারে লক আইকনটি পরীক্ষা করে এটি প্রতিরোধ করতে পারেন, তবে প্রতিবার এটি করার কথা প্রায় কেউই মনে রাখে না।


3

আমি ক্লোসেটনোকের পয়েন্টগুলির সাথে বেশিরভাগ ক্ষেত্রে একমত, কিন্তু অন্য একটি বিষয় যা উপেক্ষা করা হয়েছে: টর ব্যবহারকারীদের প্রবাহিত নোডগুলি শোনার জন্য রোধ করতে একটি এসএসএল সংস্করণ প্রয়োজন

আপনি যদি সন্দেহ করেন যে আপনার কোনও পাঠক টর ব্যবহার করেন তবে আপনার অনুশীলনের বিষয় হিসাবে এসএসএল সক্ষম করা উচিত।

এছাড়াও, ম্যাক্স রিডের পয়েন্টে +1: খুব কমপক্ষে, আপনি অ-সমালোচনামূলক ট্র্যাফিকের জন্য এনক্রিপশনটির ব্যবহারকে সাধারণকরণে সহায়তা করেন, সুতরাং ইচ্ছামত প্যাকেটগুলি সনাক্ত করার জন্য গোয়েন্দা সংস্থাগুলির প্রচেষ্টার প্রচেষ্টা বাড়ানো উচিত।


আমি এনএসএর জীবনকে আরও শক্ত করার ধারণাটি পছন্দ করি। দুর্ভাগ্যক্রমে, এটি চারিদিকের জন্য জীবনকে আরও কঠিন করে তুলতে পারে। আরও সিপিইউ চক্র, বৃহত্তর ডেটা স্থানান্তর, আরও প্যাকেট, ধীর স্থানান্তর হার ইত্যাদি course অবশ্যই এই সাইটটি প্রতি কেবল একটি ছোট ড্রিপ, তবে পর্যাপ্ত সাইটগুলি এবং আপনার কেবল এনএসএ যা করছে তা বাস্তব সমস্যা হতে পারে। অপেক্ষা কর. এনএসএ-এর 2016 এর কাছে যাওয়ার সাথে সাথে এটিতে একটি গিঁট দেওয়া হবে tail এই মুহূর্তে এটি তাদের $$ এর নীচে কেবল একটি ছোট্ট আগুন $$
ক্লোজটনোক

4
@ ক্লোসেটনোক টিএলএস ট্রান্সফার আকার বাড়ায়, 1%? এবং যে কোনও আধা-আধুনিক সিপিইউ ওয়েব ব্রাউজার এটি ফেলে দেওয়ার জন্য ভাবতে পারে এমন সমস্ত ক্রিপ্টো পরিচালনা করতে পারে। সমস্যা কি?
ম্যাট নর্ডহফ

আমি রাজী. আমি একে একটি ছোট ড্রিপ বলেছি। সম্ভবত এটি সুপার সুপার ড্রিপের মতো বেশি। তবে আমি সন্দেহ করি যে পর্যাপ্ত সুপার ছোট ছোট ড্রিপস সত্যিকার অর্থেই লাইফকে প্রভাবিত করবে। ওয়েবের ক্ষেত্র সম্পর্কে চিন্তা করুন এবং যদি প্রত্যেকে এসএসএলে স্থানান্তরিত হয় তবে তা দ্রুত বৃদ্ধি পাবে। এটি নেট নেমে নাও পারে তবে এর প্রভাবটি অনুভূত হবে আমি নিশ্চিত।
ক্লোজটনোক

1
@ ক্লসনেটোক একটি বড় জিনিসের 1% এখনও 1%।
ম্যাট নর্ডহফ

1
@ ক্লোসেটনোক সমস্ত টেলকোসের সীমাবদ্ধ ক্ষমতা রয়েছে। কোনও বুদ্ধিমান টেল্কো 99% এর কাছাকাছি কোথাও তাদের বন্দর চালায় না। (যদিও নেটফ্লিক্স চাঁদাবাজি করার জন্য বেশ কিছু উন্মাদ ব্যক্তি তা করেন)) যদি তারা তা করে থাকে তবে প্রতিবারই একটি নতুন জাস্টিন বিবার মিউজিক ভিডিও ইউটিউবে উঠলে তারা ছত্রভঙ্গ হয়ে যায়।
ম্যাট নর্ডহফ

3

এসএসএল নিজেই ব্যয় ব্যতীত অন্য কোনও কারণ নেই।

একটি সাধারণ ওয়েবসারভার স্থাপনার জন্য এসএসএল সামান্য ওভারহেড যুক্ত করে।

এনক্রিপশন বাধ্যতামূলক করার জন্য http 2.0 স্ট্যান্ডার্ডের জন্য আলোচনা রয়েছে: http://beta.slashdot.org/story/194289

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.