Https के साथ सुरक्षित वेबसाइट कैसे बनाये


87

मुझे अपने व्यवसाय डेटा को बनाए रखने के लिए एक कंपनी के लिए एक छोटा सा वेबैप बनाना होगा ... कंपनी के भीतर केवल वे ही इसका उपयोग करेंगे, लेकिन हम इसे सार्वजनिक डोमेन में होस्ट करने की योजना बना रहे हैं, ताकि कर्मचारी विभिन्न स्थानों से ऐप से जुड़ सकें । (अब तक मैंने ऐसे वेब ऐप बनाए हैं जो केवल आंतरिक रूप से होस्ट किए जाते हैं)

मैं सोच रहा हूं कि क्या मुझे एक सुरक्षित कनेक्शन (https) का उपयोग करने की आवश्यकता है या सिर्फ फॉर्म प्रमाणीकरण पर्याप्त है।

यदि आप https कहते हैं, तो मेरे कुछ प्रश्न हैं:

  1. मुझे अपनी वेबसाइट को https के लिए तैयार करने के लिए क्या करना चाहिए। (क्या मुझे कोड / कॉन्फिगर बदलने की आवश्यकता है)
  2. SSL और https एक और एक ही है ...
  3. क्या मुझे कुछ लाइसेंस या कुछ पाने के लिए किसी के साथ आवेदन करने की आवश्यकता है।
  4. क्या मुझे अपने सभी पृष्ठ सुरक्षित या केवल लॉगिन पृष्ठ बनाने की आवश्यकता है ...

मैं उत्तर के लिए इंटरनेट खोज रहा था, लेकिन मैं इन सभी बिंदुओं को प्राप्त करने में सक्षम नहीं था ... किसी भी श्वेतपत्र या अन्य संदर्भ भी उपयोगी होंगे ...

बेवजह पूछने के लिए बेझिझक आपको और जानकारी चाहिए।

धन्यवाद

  • राजा

हाय सब ... सभी के लिए धन्यवाद ... आपके सभी उत्तर अत्यधिक मददगार थे ... यहाँ एक उत्तर का चयन करना अनुचित होगा ... (एसओ के पास इस तरह के व्यंग्यों के लिए प्रावधान होना चाहिए)। इसलिए, मैंने एक उत्तर का चयन किया और दूसरों को उकसाया ... चयनित उत्तर भी उतना ही महत्वपूर्ण है जितना कि अन्य उत्तर ...
राजा

3
अतिरिक्त सावधानी का काम, इस बात पर निर्भर करता है कि जानकारी कितनी गोपनीय है (उदाहरण के लिए व्यक्तिगत जानकारी संघीय कानून की स्थिति के अधीन हो सकती है) और कंपनी के साथ आपका क्या संबंध और अनुबंध है, आप सोच सकते हैं कि क्या आप उत्तरदायी होंगे? कोई व्यक्ति साइट को हैक करता है।
हुन्हजाल

एक बार जब आपके पास अपने सर्वर पर प्रमाणपत्र स्थापित हो जाता है, तो IIS में अपनी वेबसाइट पर https जोड़ने के लिए, आपको बस इतना करना होगा कि साइट पर जाएं और "बाइंडिंग संपादित करें", https चुनें, और प्रमाणपत्र चुनें।
bgmCoder

जवाबों:


49

मुझे अपनी वेबसाइट को https के लिए तैयार करने के लिए क्या करना चाहिए। (क्या मुझे कोड / कॉन्फिगर बदलने की आवश्यकता है)

आपको सुरक्षित कोडिंग को ध्यान में रखना चाहिए (यहाँ एक अच्छा परिचय है: http://www.owasp.org/index.php/Secure_Coding_Principles ), अन्यथा आपको बस एक सही ढंग से SSL प्रमाणपत्र सेट करना होगा।

SSL और https एक और एक ही है ।।

बहुत, हाँ।

क्या मुझे कुछ लाइसेंस या कुछ पाने के लिए किसी के साथ आवेदन करने की आवश्यकता है।

आप एक प्रमाणपत्र प्राधिकारी से एसएसएल प्रमाणपत्र खरीद सकते हैं या स्व-हस्ताक्षरित प्रमाण पत्र का उपयोग कर सकते हैं। जिन्हें आप खरीद सकते हैं वे मूल्य में बेतहाशा भिन्न-भिन्न हो सकते हैं - $ 10 से लेकर सैकड़ों डॉलर प्रति वर्ष। उदाहरण के लिए, यदि आप एक ऑनलाइन दुकान स्थापित करते हैं, तो आपको उनमें से एक की आवश्यकता होगी। स्व-हस्ताक्षरित प्रमाणपत्र एक आंतरिक अनुप्रयोग के लिए एक व्यवहार्य विकल्प है। आप विकास के लिए उनमें से एक का भी उपयोग कर सकते हैं। IIS के लिए एक स्व-हस्ताक्षरित प्रमाणपत्र कैसे सेट किया जाए, इसका एक अच्छा ट्यूटोरियल यहां है: IIS 7.0 पर SSL को सक्षम करना स्व-हस्ताक्षरित प्रमाण पत्र का उपयोग करना

क्या मुझे अपने सभी पृष्ठ सुरक्षित या केवल लॉगिन पृष्ठ बनाने की आवश्यकता है ..

सब कुछ के लिए HTTPS का उपयोग करें, न कि केवल प्रारंभिक उपयोगकर्ता लॉगिन। यह ओवरहेड के बहुत अधिक नहीं होने जा रहा है और इसका अर्थ होगा कि आपके दूरस्थ होस्ट किए गए एप्लिकेशन से उपयोगकर्ता जो डेटा भेजते हैं / प्राप्त करते हैं, उसे बाहरी पार्टियों द्वारा नहीं पढ़ा जा सकता है अगर वह बाधित होता है। यहां तक ​​कि जीमेल अब डिफ़ॉल्ट रूप से HTTPS को चालू करता है।


1
आप निशुल्क TLS प्रमाणपत्र भी प्राप्त कर सकते हैं, अर्थात लेट्स एनक्रिप्ट से
1615903

8

व्यापार डेटा किस तरह का ? व्यापार रहस्य या सामान जो वे नहीं चाहते कि लोग देखें लेकिन अगर यह निकल गया, तो यह एक बड़ी बात नहीं होगी? यदि हम व्यापार रहस्य, वित्तीय जानकारी, ग्राहक जानकारी और सामान की बात कर रहे हैं जो आम तौर पर गोपनीय होती है। फिर उस मार्ग से नीचे न जाएं।

मैं सोच रहा हूं कि क्या मुझे एक सुरक्षित कनेक्शन (https) का उपयोग करने की आवश्यकता है या सिर्फ फॉर्म प्रमाणीकरण पर्याप्त है।

सभी तरह से एक सुरक्षित कनेक्शन का उपयोग करें।

क्या मुझे कोड / कॉन्फिग बदलने की जरूरत है

हाँ। खैर नहीं हो सकता है। आप चाहते हैं कि कोई विशेषज्ञ आपके लिए ऐसा करे।

SSL और https एक और एक ही है ...

ज्यादातर हाँ। लोग आमतौर पर उन चीजों को एक ही चीज के रूप में संदर्भित करते हैं।

क्या मुझे कुछ लाइसेंस या कुछ पाने के लिए किसी के साथ आवेदन करने की आवश्यकता है।

आप शायद अपने प्रमाण पत्र पर एक प्रमाणपत्र प्राधिकारी द्वारा हस्ताक्षरित होना चाहते हैं। यह आपको या आपके ग्राहक को थोड़े से पैसे खर्च करेगा।

क्या मुझे अपने सभी पृष्ठ सुरक्षित या केवल लॉगिन पृष्ठ बनाने की आवश्यकता है ...

Https का उपयोग करें। यदि साइट आंतरिक उपयोगकर्ताओं के लिए है तो प्रदर्शन आमतौर पर कोई समस्या नहीं है।

मैं उत्तर के लिए इंटरनेट खोज रहा था, लेकिन मैं इन सभी बिंदुओं को प्राप्त करने में सक्षम नहीं था ... किसी भी श्वेतपत्र या अन्य संदर्भ भी उपयोगी होंगे ...

कुछ बिंदुओं के लिए यहां शुरू करें: http://www.owasp.org/index.php/Category:OWASP_Guide_Project

ध्यान दें कि इंटरनेट से एक्सेस करने के बाद SSL आपकी वेब साइट को सुरक्षित बनाने का एक छोटा हिस्सा है। यह अधिकांश प्रकार की हैकिंग को नहीं रोकता है।


सभी तरह से सुरक्षित करने और सूचनाओं को बहुत गोपनीय रखने और यह ऑनलाइन न डालने की सलाह देकर आपदा से बचाव के बारे में ध्वनि सलाह के लिए +1
ब्लूट्रिन

7

मुझे लगता है कि आप अपनी साइट प्रमाणीकरण और एसएसएल के साथ भ्रमित हो रहे हैं।

यदि आपको अपनी साइट को एसएसएल में लाने की आवश्यकता है, तो आपको अपने वेब सर्वर में एसएसएल प्रमाणपत्र स्थापित करना होगा। आप सिमेंटेक आदि स्थानों में से किसी एक जगह से अपने लिए एक प्रमाण पत्र खरीद सकते हैं। इस प्रमाण पत्र में आपकी सार्वजनिक / निजी कुंजी जोड़ी, अन्य चीजों के साथ होगी।

आपको अपने स्रोत कोड में कुछ भी करने की आवश्यकता नहीं है, और आप अभी भी अपनी साइट में अपने प्रपत्र प्रमाणीकरण (या किसी अन्य) का उपयोग करना जारी रख सकते हैं। इसके बस, वेब सर्वर और क्लाइंट के बीच होने वाले किसी भी डेटा संचार को आपके प्रमाणपत्र का उपयोग करके एन्क्रिप्ट और हस्ताक्षरित किया जाएगा। लोग आपकी साइट तक पहुँचने के लिए सुरक्षित-HTTP (https: //) का उपयोग करेंगे।

अधिक जानकारी के लिए इसे देखें -> http://en.wikipedia.org/wiki/Transport_Layer_Security


3

व्यावसायिक डेटा के लिए, यदि डेटा निजी है, तो मैं एक सुरक्षित कनेक्शन का उपयोग करूंगा, अन्यथा एक प्रपत्र प्रमाणीकरण पर्याप्त है।

यदि आप एक सुरक्षित कनेक्शन का उपयोग करने का निर्णय लेते हैं, तो कृपया ध्यान दें कि मेरे पास सुरक्षित वेबसाइटों के साथ अनुभव नहीं है, मैं सिर्फ अपने व्यक्तिगत अनुभव के दौरान जो मैं सामना कर रहा था उसे दूर कर रहा हूं। अगर मैं किसी भी तरह से गलत हूं, तो कृपया मुझे सुधारने के लिए स्वतंत्र महसूस करें।

मुझे अपनी वेबसाइट को https के लिए तैयार करने के लिए क्या करना चाहिए। (क्या मुझे कोड / कॉन्फिगर बदलने की आवश्यकता है)

अपनी वेबसाइट के लिए एसएसएल (सिक्योर सॉकेट्स लेयर) को सक्षम करने के लिए , आपको एक प्रमाण पत्र, कोड या विन्यास सेट करना होगा।

मैंने इस ऑनलाइन ट्यूटोरियल से ओपनएसएसएल और एक्टिवपेरल का उपयोग करके एसएसएल को एक आंतरिक वेब-सर्वर के लिए सक्षम किया है । यदि यह बड़े दर्शकों के लिए उपयोग किया जाता है (मेरे दर्शक 10 लोगों से कम थे) और सार्वजनिक डोमेन में हैं, तो मेरा सुझाव है कि पेशेवर विकल्प की तलाश करें।

SSL और https एक और एक ही है ...

बिल्कुल नहीं, लेकिन वे हाथ से चलते हैं! एसएसएल सुनिश्चित करता है कि जब आप वेबसाइट देख रहे हैं तो डेटा एन्क्रिप्ट और डिक्रिप्ट किया गया httpsहै, यूआरआई है जिसे सुरक्षित वेबसाइट तक पहुंचने की आवश्यकता है। जब आप http://secure.mydomain.comइसे एक्सेस करने का प्रयास करेंगे तो आपको एक त्रुटि संदेश दिखाई देगा।

क्या मुझे कुछ लाइसेंस या कुछ पाने के लिए किसी के साथ आवेदन करने की आवश्यकता है।

आपको एक लाइसेंस प्राप्त करने की आवश्यकता नहीं होगी, बल्कि एक प्रमाण पत्र। आप ऐसी कंपनियों पर गौर कर सकते हैं जो एक उदाहरण के रूप में वेरिसाइन जैसी वेबसाइटों के साथ पेशेवर सेवाएं प्रदान करती हैं ।

क्या मुझे अपने सभी पृष्ठ सुरक्षित या केवल लॉगिन पृष्ठ बनाने की आवश्यकता है ...

एक बार जब आपका प्रमाणपत्र mydomain.comहर पेज के लिए सक्षम हो जाता है, *.mydomain.comतो वह सुरक्षित हो जाएगा।


1

4.क्या मुझे अपने सभी पेज सुरक्षित या केवल लॉगिन पेज बनाने की जरूरत है ...

बस https के तहत लॉगिन पेज रखें

यह सुनिश्चित करेगा कि अन्य पृष्ठों को ब्राउज़ करते समय कोई ओवरहेड न हो। शर्त यह है कि आपको वेब कॉन्फ़िगरेशन में सही प्रमाणीकरण सेटिंग्स प्रदान करने की आवश्यकता है। यह उन उपयोगकर्ताओं को सुनिश्चित करने के लिए है जो लॉग इन नहीं हैं, वे उन पृष्ठों को ब्राउज़ नहीं कर पाएंगे, जिन्हें प्रमाणीकरण की आवश्यकता होगी।


3
टीएलएस के तहत आपकी साइट के केवल हिस्से की सेवा असुरक्षित है। एक सक्रिय हमलावर SSLStrip का उपयोग कर सकता है और कथित रूप से संरक्षित पृष्ठों तक पहुंच बना सकता है।
तोबू

1

@balalakshmi ने सही प्रमाणीकरण सेटिंग्स के बारे में उल्लेख किया है। प्रमाणीकरण समस्या का केवल आधा हिस्सा है, अन्य आधा प्राधिकरण है।

यदि आप प्रपत्र प्रमाणीकरण और मानक नियंत्रणों का उपयोग कर रहे <asp:Login>हैं, तो कुछ चीज़ें हैं जो आपको यह सुनिश्चित करने के लिए करने की आवश्यकता होगी कि केवल आपके प्रमाणित उपयोगकर्ता सुरक्षित पृष्ठों तक पहुँच सकते हैं।

में web.config, के तहत <system.web>खंड आप डिफ़ॉल्ट रूप से अक्षम अनाम पहुंच की आवश्यकता होगी:

<authorization>
 <deny users="?" />
</authorization>

कोई भी पृष्ठ जो गुमनाम रूप से एक्सेस किया जाएगा (जैसे कि Login.aspx पेज ही) को ओवरराइड करने की आवश्यकता होगी जो अनाम पहुंच को फिर से अनुमति देता है। यह एक आवश्यकता है <location>तत्व और पर स्थित होना चाहिए <configuration>(स्तर के बाहर<system.web> अनुभाग) इस तरह,:

<!-- Anonymous files -->
<location path="Login.aspx">
 <system.web>
  <authorization>
   <allow users="*" />
  </authorization>
 </system.web>
</location>

ध्यान दें कि आपको किसी भी स्टाइल शीट या स्क्रिप्ट तक गुमनाम उपयोग की अनुमति देने की आवश्यकता होगी जो गुमनाम पृष्ठों द्वारा उपयोग की जाती हैं:

<!-- Anonymous folders -->
<location path="styles">
 <system.web>
  <authorization>
   <allow users="*" />
  </authorization>
 </system.web>
</location>

ध्यान रखें कि स्थान की pathविशेषता web.configफ़ोल्डर के सापेक्ष है और ~/अधिकांश अन्य पथ-प्रकार कॉन्फ़िगरेशन विशेषताओं के विपरीत, उपसर्ग नहीं हो सकता है ।


-2

PHP में बूट डायरेक्टरी बनाने की कोशिश करें

<?PHP
$ip = $_SERVER['REMOTE_ADDR'];
$privacy = ['BOOTSTRAP_CONFIG'];
$shell   = ['BOOTSTRAP_OUTPUT'];
enter code here
if $ip == $privacy {
function $privacy int $ip = "https://";
} endif {
echo $shell
}
?>

यह मुख्य रूप से है!


3
यह वास्तव में सवाल का जवाब नहीं दे रहा है
एंड्रियास
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.