কোনও সাইটকে এসএসএল (এইচটিটিপিএস) এর উপর চাপ দিতে বাধ্য করার সুবিধা কী?


55

ধরা যাক, আমার কাছে কেবলমাত্র একটি বিশাল সামগ্রী রয়েছে; লগইন বা লগআউট, কোনও ব্যবহারকারীর নাম, কোনও ইমেল ঠিকানা, কোনও সুরক্ষিত অঞ্চল, সাইটে কোনও গোপন কিছুই নেই ada লোকেরা কেবল সাইটে আসে এবং পৃষ্ঠা থেকে অন্য পৃষ্ঠায় যায় এবং সামগ্রীটি দেখে at

গুগল থেকে এসইও-তে সামান্য বিড়াল ছাড়াও ( খুব সামান্য, আমি যা পড়েছি তা থেকে), এইচটিটিপিএসের মাধ্যমে সাইটটি লোড করতে বাধ্য করার কোনও সুবিধা আছে কি?


1
আমি বিশ্বাস করি না এটি এখন সাইটে এসএসএল ব্যবহার করে ফোর্সের একটি সদৃশ ? । যদিও কিছু উত্তর একইরকম হতে পারে তবে এই প্রশ্নটি এই প্রশ্নটি না থাকার সময় এসএসএল ব্যবহার করবেন কিনা তা সম্পর্কে পরামর্শ চাইছেন। যদি কিছু হয় তবে অন্য প্রশ্নটি মতামত ভিত্তিক হওয়ার কারণে বন্ধ করা উচিত।
স্টিফেন অসটারমিলার

4
আসুন এটিকে ঘুরিয়ে দিন: এসএসএল না ব্যবহার করে কী লাভ? এমন কোন কিছুই নেই যা আমি জানি। ওহ নিশ্চিত, বাস্তবায়ন যা একদম বন্ধ হয়ে যায় এবং (তুলনামূলকভাবে সমস্ত কিছুর সাথে) সময় নেয় না। সুতরাং, যদি একটি পদ্ধতির কোনও ডাউনসাইড এবং কিছু আপসাইড না থাকে, অন্যটির কোনও উত্সাহ নেই এবং (আপনার মতে) কোনও ডাউনসাইড নেই, তবে ... কেন পরবর্তীকালের সাথে আটকে থাকবেন?
VLAZ

3
@ ভোল্ড - পারফরম্যান্স এই দিনগুলিতে, আমরা প্রায়শই 1/2 সেকেন্ডের লক্ষ্য নিয়ে উপ-দ্বিতীয় পারফরম্যান্সের পরিসংখ্যানগুলিতে সাইটের প্রাথমিক লোড বারকে অনুকূল করতে চেষ্টা করি। কিছুটা ধীরে ধীরে ইন্টারনেট সংযোগে (100 মিমি প্রায় প্যাকেট বিলম্বিত) এসএসএল হ্যান্ডশেক সহজেই 300 মিমি নিতে পারে, যা আপনাকে কার্য সম্পাদনের লক্ষ্যে এগিয়ে যেতে পারে। মোবাইল ব্যবহারকারীদের জন্য এটি আরও খারাপ: মোবাইল নেটওয়ার্কগুলির মধ্যে দীর্ঘতর প্যাকেটের বিলম্ব রয়েছে এবং শংসাপত্র যাচাইয়ের জন্য প্রক্রিয়া করার সময়টি ধীর ফোনে সহজেই আরও কয়েক শতাধিক এমএস হতে পারে।
জুলে

6
মোবাইল ক্যারিয়ারগুলি সর্বদা অচিহ্নহীন এইচটিটিপি ট্র্যাফিকের সাথে হস্তক্ষেপ করে, তা ইমেজ (ওভার) সংকোচনের জন্য হোক না কেন, দুষ্ট জাভাস্ক্রিপ্ট বা আরও আক্রমণাত্মক ক্যাশে-নিয়ন্ত্রণ শিরোনাম ইনজেকশন দেয়। এইচটিটিপিএস সেই সমস্ত বাজে কথা রোধ করবে।
আঁদ্রে Borie

2
@ জোসেফ সত্য নয় এইচটিটিপি / 2 ঠিক তেমনি এনক্রিপ্ট করা সংযোগগুলির জন্যও কাজ করে। কোনও ব্রাউজার তা করতে পারে না, তবে এটি ব্রাউজারের সীমাবদ্ধতা, HTTP / 2 নয়। "এইচটিটিপি / 2 কেবলমাত্র টিএলএস-এর উপরে কাজ করে" বলার মতোই "প্রযুক্তি এক্স কাজ করে না কারণ ইন্টারনেট এক্সপ্লোরার এটি প্রয়োগ করে না"। আমাদের কোথায় নিয়ে গেছে দেখুন।
এজেন্ট_এল

উত্তর:


84

এইচটিটিপিএস কেবল গোপনীয়তা সরবরাহ করে না (যার মধ্যে আপনি মানটির বিষয়ে সন্দেহ করছেন, যদিও এর জন্য এখনও ভাল কারণ রয়েছে) তবে সত্যতাও যা সর্বদা মূল্যবান। এটি ছাড়া, দূষিত অ্যাক্সেস পয়েন্ট / রাউটার / আইএসপি / ইত্যাদি। আপনার সাইটের কোনও অংশ ব্যবহারকারীর কাছে প্রদর্শন করার আগে এটি আবার লিখতে পারে। এর মধ্যে অন্তর্ভুক্ত থাকতে পারে:

  • আপনার প্রতিযোগীদের জন্য ইনজেকশন বিজ্ঞাপন
  • ইনজেকশন দেওয়া বিজ্ঞাপনগুলি বা বিরক্তিকর উইজেটগুলি যা আপনার সাইটটিকে খারাপ দেখায় এবং আপনার খ্যাতির ক্ষতি করে
  • ইনজেকশন শোষণের দ্বারা দর্শনার্থীর কম্পিউটারে ম্যালওয়ারের ড্রাইভ বাই ডাউনলোডগুলি সম্পাদন করা যায়, যিনি তখন (যথাযথ!) এটি হওয়ার জন্য আপনাকে দোষ দেয়
  • আপনার সাইট থেকে সফ্টওয়্যার ডাউনলোডগুলি ম্যালওয়্যার বান্ডিল করে এমনগুলি দিয়ে প্রতিস্থাপন করছে
  • আপনার চিত্রের গুণমান হ্রাস
  • আপনার সাইটের অংশগুলি সরাতে তারা আপনাকে দেখতে চায় না, যেমন এমন জিনিস যা তাদের নিজস্ব পরিষেবাদিগুলির সাথে প্রতিযোগিতা করে বা খারাপ আলোকে চিত্রিত করে
  • প্রভৃতি

আপনার ব্যবহারকারীদের এই জিনিসগুলি থেকে রক্ষা করতে ব্যর্থতা দায়িত্বহীন।


27
@ মাইক সত্যিই নয় এটি করার জন্য অফ-দ্য শেল্ফ সফ্টওয়্যার প্রচুর রয়েছে এবং এটি সমস্ত ডিকম্প্রেশন এবং পুনরায় সংক্ষেপণ ঠিকঠাক পরিচালনা করে।
সেজেজোজ

3
@ মাইক সত্যিই নয় একটি সম্পূর্ণ পুনর্লিখনের প্রক্সি সমস্ত ট্র্যাফিককে ডিকোড করতে পারে এবং নতুন যা কিছু নতুন জিনিস চাইবে তা ইনজেক্ট করতে পারে।
নায়ুকি

10
এফওয়াইআই সর্বাধিক যদি আমার সমস্ত উদাহরণ বন্যে দেখা যায় নি।
আর ..

2
@ ডেভিড মল্ডার আপনার প্রথম মন্তব্যে বলেছিল " ডি সেন্ট্রালাইজেশন [...] ভাল জিনিস নয়"
জিগগঞ্জের

3
আমরা কি দয়া করে এই উত্তরের মন্তব্যগুলিকে কোনও সম্পর্কহীন ইস্যুতে অফ-টপিক বাইকশেড-এস্কে অভিজাত রূপে পরিণত করতে পারি না?
আর ..

25

"সাইটে গোপন কিছুই নেই"

... মতে আপনি । কেউ কোনও সুরক্ষিত সংযোগ চায় এমন একদম সঠিক কারণ হতে পারে। এটি (আংশিকভাবে) গোপনীয়তা তৈরি করে:

আমার প্রশাসক দেখতে পাবে যে আমি ইউআরএল মাধ্যমে আমার ফোনে কিছু ছবি সাইট ব্রাউজ করছি, তবে তিনি বলতে পারবেন না আমি কি সুন্দর বিড়াল বা হার্ডকোর অশ্লীল ছবি দেখছি কিনা। আমি বলব যে এটি খুব ভাল গোপনীয়তা। "একটি সামগ্রী" এবং "সামগ্রী" বিশ্বে সমস্ত পার্থক্য আনতে পারে। - এজেন্ট_এল

আপনি মনে করতে পারেন এটি তুচ্ছ, বা সম্ভবত এটি এখন খুব বড় বিষয় নয় তবে সময়ের অন্য সময়ে হতে পারে। আমি দৃ firm় বিশ্বাসী যে আমার এবং ওয়েবসাইটের বাইরে কেউই জানতে পারে না যে আমি কী করছি।

এটি আস্থা তৈরি করে। প্যাডলক থাকা সুরক্ষার আলামত এবং এটি ওয়েবসাইট এবং আপনার পণ্যগুলি সম্পর্কে কিছুটা দক্ষতার পরিচয় দিতে পারে।

এটি আপনাকে যেমন MitM আক্রমণগুলির জন্য লক্ষ্যকে কম করে তোলে। সুরক্ষা বাড়ে।

মত উদ্যোগের মাধ্যমে আসুন এনক্রিপ্ট , যা এটি অনেক সহজ করতে এবং বিনামূল্যে , অনেক মূল্যবান নয়। এসএসএল দ্বারা নেওয়া সিপিইউ শক্তি এই দিনগুলিতে নগন্য।


11
দুর্ভাগ্যক্রমে এসএসএল কর্পোরেট আইটি বা আপনার আইএসপি বা আপনার সাথে পাবলিক ক্যাফে ওয়াইফাইতে থাকা লোকেরা আপনি কোন সাইটগুলি পরিদর্শন করছেন তা জানতে বাধা দেয় না। ডিএনএস লুকআপগুলি এখনও স্পষ্টভাবে সম্পন্ন হয়েছে । তারা বিষয়বস্তু, কিংবা সঠিক URL টি দেখতে পাই না, কিংবা যে আপনি এমনকি একটি ওয়েব ব্রাউজার ব্যবহার করছেন, তারা যদিও করতে আপনি penisland.com অ্যাক্সেস যে (দেখুন যা, অবশ্যই, কলম উত্সাহীদের জন্য একটি সাইট কিন্তু ভুল ধারণা করা হতে পারে)। একটি ভিপিএন বা এসওকেএস 5 প্রক্সি ব্যবহার করা আপনার ডিএনএস অনুসন্ধানগুলি রক্ষা করবে।
শোওয়ার্ন

3
@ মার্তিজন: সার্ভার নেম ইঙ্গিত (যা সমস্ত আধুনিক ব্রাউজার সমর্থন করে) সহ, ওয়েবসাইটের হোস্টনামটি নিজেই এইচটিটিপিএস হ্যান্ডশেকের অংশ হিসাবে পরিষ্কার হিসাবে প্রেরণ করা হয়। এটি কেবল সিডেক্যানেল আক্রমণগুলির বিষয় নয় এবং উদাহরণস্বরূপ ডিএনএসসেক দিয়ে প্রশমিত করা যায় না।
কেভিন

3
@ শ্যাওয়ার্ন আমি এই যুক্তিটি কখনই বুঝতে পারি নি যে এইচটিটিপিএস হোস্টের নামটি রক্ষা করে না কারণ ডিএনএস লুকআপ এবং এসএনআই এবং সার্ভারের শংসাপত্র পরিষ্কার রয়েছে। অবশ্যই এটি সত্য হিসাবে বলা হয়েছে, তবে সাধারণ পাঠ্য এইচটিটিপি কোনও ক্ষেত্রেই এর চেয়ে ভাল নয়!
একটি সিভিএন

5
@ শ্যাওয়ার্ন আমার প্রশাসক দেখতে পাবেন যে আমি আমার ফোনে টাম্বলারটি ব্রাউজ করছি, তবে তিনি বলতে পারবেন না আমি কি সুন্দর বিড়াল বা হার্ডকোর অশ্লীল ছবি দেখছি কিনা। আমি বলব যে এটি খুব ভাল গোপনীয়তা। "একটি সামগ্রী" এবং "সামগ্রী" বিশ্বে সমস্ত পার্থক্য আনতে পারে।
এজেন্ট_এল

2
@ এজেন্ট_এল না, এমনকি এটি ভাল পরামর্শ নয়। আপনি যদি https://penisland.tumblr.com/আপনার ব্রাউজারে যান penisland.tumblr.comতবে একটি ডিএনএস অনুরোধ করবে যার জন্য আপনি যদি আপনার ডিএনএস অনুসন্ধানগুলি সুরক্ষিত না করেন, নেটওয়ার্ক প্রশাসক দেখতে পাবেন। তারপরে আপনার ব্রাউজারে বিভিন্ন ডোমেনের চিত্র, জাভাস্ক্রিপ্ট, সিএসএস এবং বিজ্ঞাপনগুলি পেতে হবে যা আরও ডিএনএস অনুরোধ উত্পন্ন করে। তারা যে কোনও ডোমেইন থেকে হতে পারে। যে কয়েকটি অশ্লীল টাম্বলার ডোমেন আমি চেষ্টা করেছি সেগুলির স্পষ্ট কিছু নেই, টাম্বলার ঘরে ইমেজ এবং ভিডিও হোস্ট করে, তবে আপনি গোপনীয়তার জন্য এটির উপর নির্ভর করতে পারবেন না
শোওয়ার্ন

12

আপনি HTTP / 2 সমর্থন পান, ওয়েবসাইটের লোডিং গতির উল্লেখযোগ্যভাবে উন্নত করার জন্য ডিজাইন করা নতুন ওয়েব স্ট্যান্ডার্ড ।

যেহেতু ব্রাউজার নির্মাতারা কেবল এইচটিটিপিএস-এর উপরে এইচটিটিপি / 2 সমর্থন করতে বেছে নিয়েছে , এই গতির আপগ্রেড হওয়ার একমাত্র উপায় এইচটিটিপিএস (একটি সার্ভারে যা এইচটিটিপি / 2 সমর্থন করে) সক্ষম করে।


1
এটি বেশ বিশাল এবং আরও হাইপাই করা দরকার। এটি শুধুমাত্র এইচটিটিপিএস লোড করার জন্য একটি ব্যবসায়িক কেস তৈরি করে যা বেশিরভাগ পরিচালকেরা পিছনে পেতে পারেন।
দেবী মরগান

10

( আমার অনুরূপ প্রশ্নের উত্তর থেকে নেওয়া অংশগুলি ।)


এইচটিটিপিএস দুটি জিনিস অর্জন করতে পারে:

  • প্রমাণীকরণ । দর্শনার্থী প্রকৃত ডোমেন মালিকের সাথে যোগাযোগ করছে কিনা তা নিশ্চিত করা।
  • এনক্রিপশন । কেবলমাত্র এই ডোমেনের মালিক এবং দর্শনার্থী তাদের যোগাযোগ পড়তে পারবেন তা নিশ্চিত করা।

সম্ভবত সকলেই সম্মত হন যে গোপন সংক্রমণ (যেমন পাসওয়ার্ড, ব্যাংকিং ডেটা ইত্যাদি) প্রেরণের সময় এইচটিটিপিএস বাধ্যতামূলক হওয়া উচিত, তবে আপনার সাইটটি এই গোপনীয় প্রক্রিয়াগুলি না চালালেও, আরও বেশ কয়েকটি ক্ষেত্রে রয়েছে যেখানে এবং কেন এইচটিটিপিএস ব্যবহার উপকারী হতে পারে।

আক্রমণকারীরা অনুরোধ করা সামগ্রীর সাথে छेলা করতে পারে না।

এইচটিটিপি ব্যবহার করার সময়, শ্রবণশক্তিগুলি আপনার ওয়েবসাইটগুলিতে আপনার দর্শনার্থীরা যে সামগ্রী দেখেন তা হেরফের করতে পারে। উদাহরণ স্বরূপ:

  • ডাউনলোডের জন্য আপনার দেওয়া সফ্টওয়্যারটিতে ম্যালওয়্যার সহ (বা আপনি কোনও সফ্টওয়্যার ডাউনলোড না দিলে আক্রমণকারীরা তা শুরু করে)।
  • আপনার কিছু সামগ্রী সেন্সর করছে। আপনার মতামত প্রকাশ করে।
  • ইনজেকশন বিজ্ঞাপন।
  • আপনার অনুদানের অ্যাকাউন্টের ডেটা তাদের নিজস্ব দিয়ে প্রতিস্থাপন করা।

এইচটিটিপিএস এটি প্রতিরোধ করতে পারে।

আক্রমণকারীরা অনুরোধ করা সামগ্রীটি পড়তে পারে না।

এইচটিটিপি ব্যবহার করার সময়, শ্রবণশক্তিরা আপনার হোস্টে কোন পৃষ্ঠাগুলি / সামগ্রী আপনার দর্শকদের অ্যাক্সেস করতে পারে তা শিখতে পারে। যদিও বিষয়বস্তু নিজেই সর্বজনীন হতে পারে তবে একটি নির্দিষ্ট ব্যক্তি এটি যে জ্ঞান গ্রহণ করে তা সমস্যাযুক্ত হতে পারে:

  • এটি সোশ্যাল ইঞ্জিনিয়ারিংয়ের জন্য আক্রমণ আক্রমণকারী ভেক্টর খোলে ।
  • এটি গোপনীয়তা লঙ্ঘন করে।
  • এটি নজরদারি এবং শাস্তি (কারাবাস, নির্যাতন, মৃত্যুর অবধি) হতে পারে।

এটি অবশ্যই আপনার সামগ্রীর প্রকৃতির উপর নির্ভর করে তবে আপনাকে যে ক্ষতিকারক সামগ্রী বলে মনে হয় তা অন্য পক্ষগুলি আলাদাভাবে ব্যাখ্যা করতে পারে।

দুঃখের চেয়ে নিরাপদ থাকা ভাল। এইচটিটিপিএস এটি প্রতিরোধ করতে পারে।


1
প্রকৃতপক্ষে, এইচটিটিপিএস এটি প্রতিরোধ করতে পারে। কিছু পরিস্থিতিতে এটি নাও পারে। মোটামুটি সাম্প্রতিক উদাহরণের জন্য লেনোভো সুপারফিশ দেখুন ।
একটি সিভিএন

@ মাইকেলকার্জলিং: হ্যাঁ, আমি এটি সম্পর্কে সচেতন (সে কারণেই আমি "ক্যান";) ব্যবহার নিশ্চিত করেছিলাম) তবে এটি এইচটিটিপিএস নিজেই বা ওয়েবমাস্টার যেভাবে ব্যবহার করে তাতে কোনও সমস্যা নয়, এটি দর্শকের আচরণ থেকে উদ্ভূত একটি বিষয় এটি ঠিক? কোন সিএ-তে আস্থা রাখতে হবে (এবং কোন সফ্টওয়্যার ইনস্টল করতে হবে সে সম্পর্কে দর্শকের যত্ন নেওয়া উচিত, বিশেষত যদি এটিতে সিএ-এর বিশ্বাসের তালিকা তালিকার সাথে অনুমতি দেওয়ার অনুমতি থাকে)।
আনোর করুন

প্রকৃতপক্ষে; আমি আপনার বক্তব্যের বিরুদ্ধে তর্ক করছি না, কেবল এটি যুক্ত করছি!
একটি সিভিএন

6

এটি মাঝারি আক্রমণগুলিতে থাকা মানুষকে বাধা দেয় যা আপনাকে মনে করে যে আপনি নিজের সাইটে যাচ্ছেন কিন্তু এমন একটি পৃষ্ঠা উপস্থাপন করছেন যা অন্যের থেকে এসেছে এবং আপনার কাছ থেকে তথ্য নেওয়ার চেষ্টা করতে পারে। যেহেতু ডেটা এনক্রিপ্ট করা হয়েছে, আক্রমণকারীর পক্ষে পৃষ্ঠাটি দেখার সাথে সাথে ম্যানিপুলেট করা আরও বেশি কঠিন করে তোলে।

আপনার কোনও এসএসএল শংসাপত্রের প্রয়োজন হওয়ার কারণে এটি ন্যূনতম সময়ে আপনি কে আছেন সে সম্পর্কে কিছু যাচাই করে সাইটটির মালিক আপনি তা যাচাই করে।


3

হিটওয়াইসের মতো বিপণন সংস্থাগুলি যখন আপনি এসএসএল ব্যবহার করবেন না তখন আপনার সাইটের ডেটা সংগ্রহ করার জন্য আইএসপিগুলিকে অর্থ প্রদান করে। আপনার সাইটের ডেটা সংগ্রহ করা হয় যা আপনার প্রতিযোগীদের জানতে না পারলে:

  • ব্যবহারকারী ডেমোগ্রাফিক্স ics
  • দর্শনার্থীর পরিসংখ্যান
  • জনপ্রিয় পৃষ্ঠা
  • অনুসন্ধান ইঞ্জিনের কীওয়ার্ডগুলি (যদিও "সরবরাহিত নয়" সহ এটি আজকাল কোনও ইস্যুতে কম নয়)

3

এবং, সমস্ত উত্তরে কেবল একটি জিনিস যুক্ত করতে আমি কেবল বিলম্বের কথা বলব কারণ, দেখে মনে হয় কেউ এখানে এই সম্পর্কে লেখেনি।

নিম্ন-ক্লায়েন্ট-টু-সার্ভার এইচটিটিপি ল্যাটেন্সি থাকা দ্রুত-লোডিং, প্রতিক্রিয়াশীল ওয়েবসাইটগুলি তৈরির জন্য গুরুত্বপূর্ণ।

টিসিপি / আইপি একাই 3-উপায় হ্যান্ডশেক (টিসিপি ওভার প্লেইন এইচটিটিপি জন্য প্রাথমিক সংযোগ সেটআপ 3 প্যাকেট প্রয়োজন)। যখন এসএসএল / টিএলএস ব্যবহার করা হয়, তখন সংযোগ সেটআপটি আরও জড়িত থাকে, অর্থাত নতুন এইচটিটিপিএস সংযোগের জন্য প্রচ্ছন্নতা প্লেইন টেক্সট এইচটিটিপি থেকে অপরিবর্তনীয়ভাবে বেশি।

এইচটিটিপি সমস্যা হ'ল এটি নিরাপদ নয়। সুতরাং আপনার যদি সংবেদনশীল ডেটা থাকে তবে আপনার কোনও প্রকার সুরক্ষা প্রয়োজন। আপনি যখন "https" দিয়ে আপনার ওয়েব ব্রাউজারে কিছু টাইপ করেন, আপনি আপনার ব্রাউজারটিকে ট্র্যাফিক সুরক্ষার জন্য একটি এনক্রিপশন স্তর ব্যবহার করতে বলছেন। এটি শ্রবণশক্তিগুলির বিরুদ্ধে যুক্তিসঙ্গত সুরক্ষা সরবরাহ করে তবে সমস্যাটি এটি ধীর হবে। যেহেতু আমরা আমাদের ট্র্যাফিক এনক্রিপ্ট করতে চাই তাই এতে কিছু গণনা জড়িত থাকবে যা সময়ের সাথে যুক্ত হয়। এর অর্থ হ'ল আপনি যদি আপনার সিস্টেমটি সঠিকভাবে ডিজাইন না করেন তবে আপনার ওয়েবসাইটটি ব্যবহারকারীদের কাছে স্বস্তিতে উপস্থিত হবে।

শেষ করা:

আমার কাছে কেবলমাত্র একটি বিশাল সামগ্রী রয়েছে; লগইন বা লগআউট, কোনও ব্যবহারকারীর নাম, কোনও ইমেল ঠিকানা, কোনও সুরক্ষিত অঞ্চল, সাইটে কোনও গোপন কিছুই নেই ada লোকেরা কেবল সাইটে আসে এবং পৃষ্ঠা থেকে অন্য পৃষ্ঠায় যায় এবং সামগ্রীটি দেখে at

যদি এটি হয় তবে আমি মোটেও এসএসএল ব্যবহার করব না। আপনি আমার পৃষ্ঠায় ক্লিক করতে চাইলে এটি এক সেকেন্ডে খোলে। এটি ব্যবহারকারীর অভিজ্ঞতা থেকে। আপনি যেমন চান তেমন করুন, আমি যা করি তার সবগুলিতে আমি শংসাপত্র রাখি না। এই বিশেষ ক্ষেত্রে, আমি এটি মোটেও ব্যবহার করব না।


আইএমও, এটি যতটা সঠিক ভোট পেয়েছে তেমনই সমস্ত ভোট পাচ্ছে।
মাইকেল ইয়েগার

youtube.com/watch?v=e6DUrH56g14 আপনি (বা আপনার ক্লায়েন্টের একটি বড় অংশ) কোনও কারণে HTTP / 2 করতে না পারলেও পারফরম্যান্স প্রভাব হ্রাস করার জন্য কিছু কৌশল উল্লেখ করেছেন।
একটি সিভিএন

1

অন্যদের দ্বারা উল্লিখিত সুবিধাগুলির পাশাপাশি একটি কারণ রয়েছে যা আপনি ক্রোম ব্যবহার করে এমন আপনার দর্শকদের যত্ন না নিলে আপনাকে এসএসএলে স্যুইচ করে দেবে - ক্রোমের নতুন সংস্করণ (বছরের শেষ থেকে শুরু করে আমার মনে আছে) HTTPS ব্যবহার করছে না এমন সমস্ত সাইটের জন্য ডিফল্টরূপে একটি সতর্কতা (যা আপনার সাইট থেকে ব্যবহারকারীদের তাড়িয়ে দেবে) দেখানো যাচ্ছে।

// সম্পাদনা করুন:

এখানে আরও দুটি বিস্তারিত নিবন্ধের লিঙ্কগুলি দেওয়া হয়েছে, যদিও তারা আনুষ্ঠানিকভাবে বৈশিষ্ট্যটি প্রবর্তন করার পরিকল্পনা করার সময় আমি যেটি পড়েছি তা খুঁজে পাচ্ছি না:

https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-unencrypted-chrome-https

http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/


উত্তরে করা দাবির জন্য এটি একটি নিখুঁত প্রশংসা নয়, তবে এইচটিটিপিকে সর্বদা নিরাপদ হিসাবে চিহ্নিত করা হয়
একটি সিভিএন

1

সহজ উত্তরটি হ'ল এটি করার উপযুক্ত কারণ নেই । অতীতে কেবল এসএসএল ব্যবহারের বিষয়ে যুক্তি ছিল যেখানে একেবারে প্রয়োজন (যেমন ই-কমার্স সাইটগুলি অর্থ প্রদানের বিশদ সংগ্রহ করে)।

এসএসএল শংসাপত্র, ব্যয়, ওয়েব সার্ভারে অতিরিক্ত লোড এবং নেটওয়ার্কের সীমাবদ্ধতার জন্য ইনস্টলেশন প্রক্রিয়াটি মূলত এগুলি করা ছিল - এমন সময়ে যখন লোকদের ব্রডব্যান্ড ছিল না ইত্যাদি এই কারণগুলির কোনওটি সত্যই 2016 সালে প্রয়োগ হয় না।

এসইও-র শর্তাবলী, আমরা জানি যে বেশিরভাগ অনুসন্ধান ইঞ্জিনগুলির লক্ষ্য তাদের ব্যবহারকারীদের জন্য সর্বোত্তম ফলাফল প্রদান করা হয় এবং তারা যে সাইটটি তারা ব্রাউজ করছে তাতে একটি সুরক্ষিত সংযোগ প্রদানের মাধ্যমে এটি করা যেতে পারে। এই বিষয়ে অনুসন্ধান ইঞ্জিনগুলি সাইটে "সংবেদনশীল" ডেটা আছে কিনা (তা উপস্থাপন করা হবে বা সংগ্রহ করা হবে) সেদিকে খেয়াল রাখে না; এটি কেবলমাত্র যদি কেসটি এইচটিটিপিএসের মাধ্যমে পরিবেশন করা হয় তবে প্রমাণীকরণ এবং এনক্রিপশনের যে কোনও সম্ভাব্য ঝুঁকি ব্যাপকভাবে হ্রাস করা যায়, সুতরাং এইচটিটিপিএস ব্যতীত সাইটটি সমতুল্য সাইটের তুলনায় "আরও ভাল" হিসাবে বিবেচিত হবে।

মূলত, এটি প্রয়োগ করা এত সহজ এবং সোজা, এটি আজকাল সর্বাধিক অনুশীলন হিসাবে দেখা যায়। ওয়েব বিকাশকারী হিসাবে, আমি কেবলমাত্র একটি এসএসএল শংসাপত্র ইনস্টল করার বিষয়টি বিবেচনা করি এবং তারপরে HTTPS- র মাধ্যমে সমস্ত অনুরোধগুলি (.htaccess বা সমতুল্যভাবে ব্যবহার করা) আমি যে কোনও সাইট বা ওয়েব অ্যাপ্লিকেশনটির মানক অংশ হতে বাধ্য করি।


1

অন্যান্য উত্তরগুলির পাশাপাশি, ব্রাউজারগুলি (আরএফসি 2119 এর মতো) User-Agentশিরোনাম প্রেরণ করবে । এটি ব্যবহারকারীর আসলটি প্রেরণ করলে কী প্ল্যাটফর্ম ব্যবহার করছে সে সম্পর্কে এটি পর্যাপ্ত তথ্য সরবরাহ করে User-Agent। যদি ইভটি অ্যালিসের অনুরোধের ভিত্তিতে কান্নাকাটি করতে পারে এবং অ্যালিস প্রকৃতটি প্রেরণ করে তবে ইভটি User-Agentজানতে পারে যে এলিস হলের সার্ভারের সাথে সংযোগ স্থাপন না করে এলিসকে কী প্ল্যাটফর্ম ব্যবহার করে। এ জাতীয় জ্ঞানের সাহায্যে অ্যালিসের কম্পিউটারে হ্যাক করা সহজ হবে।


এটি কিছুটা বলার মতোই যে যদি ইভটি গাড়ির উইন্ডশীল্ডের মাধ্যমে অ্যালিসের গাড়ির ভিআইএন নম্বর দেখতে পায়, তবে ইভটিসের পক্ষে অ্যালিসির গাড়িতে প্রবেশ করা আরও সহজ করে দেয় কারণ ভিআইএন নম্বর তাকে কী ব্র্যান্ড এবং মডেল গাড়ি অ্যালিসের মালিকানাধীন তা আবিষ্কার করতে দেয়। অবশ্যই, এটি একটি সম্ভাবনা, তবে এমআইটিএম'কে কিছু না বলেই একই তথ্য পাওয়ার অনেকগুলি উপায় রয়েছে, যেগুলি নেটওয়ার্কের কোনও পাত নোডের জন্য ইন্টারনেট ব্যাকগ্রাউন্ড শোরগোলের চেয়ে সবেমাত্র আর কিছু নিবন্ধন করতে পারে। উদাহরণস্বরূপ: ইভ (বা সম্ভবত ম্যালরি) এলিসকে তাদের নিয়ন্ত্রণাধীন কোনও ওয়েব পৃষ্ঠার লিঙ্কটি ইমেল করতে পারে। লোকেরা লিঙ্কগুলিতে ক্লিক করতে পছন্দ করে।
একটি সিভিএন

1

আপনার প্রধান ডোমেন (mysite.com) এবং এর উপ-ডোমেনগুলি (play.mysite.com এবং test.mysite.com) সুরক্ষিত করার জন্য আপনার কাছে দুটি বিকল্প রয়েছে। এসএসএল কেবলমাত্র ইকমার্স, পেমেন্ট মার্চেন্ট সাইটের জন্য নয় যেখানে ওয়েবসাইটের মাধ্যমে আর্থিক লেনদেন বা লগইন শংসাপত্রগুলি ভাগ করা হয়। বিষয়বস্তু ভিত্তিক ওয়েবসাইটের জন্য এটি ততটা গুরুত্বপূর্ণ। আক্রমণকারীরা সর্বদা সরল এইচটিটিপি ওয়েবসাইট বা ওয়েবসাইটে লুফোল অনুসন্ধান করে। এসএসএল কেবল সুরক্ষা সরবরাহ করে না তবে আপনার ওয়েবসাইটকে প্রমাণীকরণ করে। কনটেন্ট-ভিত্তিক ওয়েবসাইটে এসএসএল হওয়ার মূল সুবিধাটি হ'ল,

  • আপনি ম্যান-ইন-মিডল আক্রমণ এড়াতে পারবেন যা সাইটের সামগ্রীতে পরিবর্তন আনতে পারে।

  • এছাড়াও, আপনার ওয়েবসাইটটির সত্যতা থাকবে যা দর্শকদের অবহিত করে যে তারা ওয়েবসাইটের সাথে ভাগ করে নিলে তাদের তথ্য সুরক্ষিত হবে।

  • তারা ওয়েবসাইটের সত্যতা সম্পর্কে আশ্বাস পান।

  • তদুপরি, আপনার ওয়েবসাইটটি এসএসএল হয়ে গেলে আপনার ওয়েবসাইটটি দূষিত বিজ্ঞাপন, শোষণ, অযাচিত উইজেটগুলি, সফ্টওয়্যার প্রতিস্থাপন এবং ওয়েব পৃষ্ঠাগুলির ক্ষতির হাত থেকে মুক্ত হবে।

  • এসএসএল শংসাপত্রটি স্ট্যাটিক সাইট সিল দেয় যা আশ্বাসের জন্য কোনও ওয়েব পৃষ্ঠায় স্থাপন করা যেতে পারে এবং গ্রাহকরা ইনস্টলড এসএসএল শংসাপত্রের বিশদ জানতে সীলটিতে ক্লিক করতে পারেন।


1

অন্যান্য উত্তরগুলি এইচটিটিপিএসের সুবিধা সম্পর্কে কথা বলেছে। কোনও ব্যবহারকারীকে কী এইচটিটিপিএস ব্যবহার করতে বাধ্য করা হবে? দুটি কারণে:

  • আপনি যদি ব্যবহারকারীদের এইচটিটিপিএস না ব্যবহার করার অপশন দেন তবে তারা সম্ভবত তা করতে পারবেন না, বিশেষত বেশিরভাগ ব্রাউজারগুলি অ্যাড্রেস বারে কোনও ডোমেন টাইপ করার সময় https: // নয় default
  • সুরক্ষিত সংস্করণ এবং অনিরাপদ সংস্করণ উভয়ই প্রয়োগ করে আপনি সংযোগের আক্রমণভাগ বাড়িয়ে তোলেন। আপনি যদি মনে করেন যে আপনি সুরক্ষিত সংস্করণ ব্যবহার করছেন তবে আপনি আক্রমণকারীদের একটি ডাউনগ্রেড আক্রমণ করার সুযোগ দেন ।
  • আপনি যদি প্রতিটি http: // URL টি সমতুল্য https: // একটিতে পুনর্নির্দেশ করেন তবে এটি সার্ভারের প্রশাসক এবং অনুসন্ধান ইঞ্জিনগুলির জন্য জীবনকে সহজ করে তোলে। Http: // এবং https: // এর অর্থ সমতুল্য হওয়া বা সম্পূর্ণ ভিন্ন জিনিসকে বোঝানোর উদ্দেশ্যে কিনা তা নিয়ে কাউকে চিন্তিত হওয়ার দরকার নেই, একে অপরকে পুনর্নির্দেশের মাধ্যমে এটি ইউআরএল কী বোঝাতে চাইছে তা সবার কাছে স্পষ্ট।
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.