अब साइट पर एसएसएल का उपयोग कर बल?


22

मैं अधिकांश वेबसाइटों को देखने के लिए शुरू कर रहा हूं जो एसएसबी का उपयोग करने के लिए एक मानक अभ्यास के रूप में वेबसाइट को सुरक्षित रूप से देखने के लिए शुरू कर रहा है अब एनएसए निगरानी के बारे में एडवर्ड स्नोडेन के खुलासे के लिए धन्यवाद।

क्या हमें सुरक्षा, देखने, भुगतान और हर जगह एसएसएल का उपयोग करने के लिए सभी वेबसाइटों को बनाने के लिए इसे एक वेब मानक बनाना चाहिए?

मैं एक साधारण व्यक्तिगत ब्लॉग का मालिक हूं, और मेरे पास लोग हैं जो कहते हैं कि मुझे इसका उपयोग करने की आवश्यकता है क्योंकि मेरी राय, चिंताओं और एनएसए के विषय के बारे में विचारों को आवाज देकर, और वे कहते हैं कि वे HTTPS के बिना कम सुरक्षित महसूस करना शुरू कर रहे हैं ...


3
वेब पर एन्क्रिप्टेड ट्रैफ़िक की मात्रा बढ़ाने के लिए टीएलएस की पेशकश पर विचार करें, जिससे दुर्भावनापूर्ण लोगों के लिए षड्यंत्रकारी और उबाऊ ट्रैफ़िक को अलग बताना मुश्किल हो जाता है।
मैक्स राइड

जवाबों:


5

दिलचस्प सवाल। हालांकि, स्पष्ट उत्तर यह होगा कि अगर मुझे ब्राउज़र के साथ एक वेबसाइट मिल सकती है, तो एनएसए भी प्राप्त कर सकता है। मैं इस पर स्मार्ट-पैंट बनने की कोशिश नहीं कर रहा हूं। एसएसएल का उपयोग खाता लॉगिन, भुगतान आदि के लिए किया जाना चाहिए, काम के सामान्य पाठ्यक्रम के रूप में, यह आवश्यक नहीं है।

ऐसा कहने के बाद, मैं SSL का समर्थन करता हूं इस उत्तर का अर्थ है। यदि आप एक ब्लॉगर हैं, तो मैं SSL का उपयोग नहीं करूंगा। यदि आप ऐसी चीजें कह रहे हैं जो आप कुछ विशेष परिस्थितियों में भी निजी चाहते हैं, तो आपको इसे पोस्ट नहीं करना चाहिए और इसे लॉगिन से बेहतर नियंत्रण में रखना चाहिए जो इसे देखता है।

याद रखें कि वेब एक खुला संचार वाहन है। यह डिजाइन और गियर है। निजी संचार वाहन इस बात से सहमत नहीं हैं कि यह किससे जुड़ता है और जानकारी साझा करता है और सुरक्षित संचार सुनिश्चित करने के लिए अक्सर कई सुरक्षा योजनाओं को तैनात करता है। वेब को किसी भी क्लाइंट के साथ आसानी से और गुमनाम रूप से कनेक्ट करने के लिए डिज़ाइन किया गया है और उसके पास मौजूद सभी या लगभग सभी जानकारी साझा करता है। हां, वेब संचार को एक बिंदु पर सुरक्षित करने के लिए विकल्प हैं, हालांकि, यह हमेशा प्रकृति के कारण सीमित होगा जो यह है।


आपके पास एक बिंदु है। एसएसएल सर्टिफिकेट उन्हें एक आगंतुक होने के लिए लोगों को "सूची" में डालने से रोकता है, क्योंकि मैं सच कह रहा हूं और उनके कार्यों का विश्लेषण कर रहा हूं और उन्हें नरक और वापस के लिए

ठीक है। मैं आपको एक रहस्य पर जाने दूँगा। मैं प्रमुख दूरसंचार कंपनियों के लिए एक अर्ध-सेवानिवृत्त सलाहकार हूं। कोई एन्क्रिप्टेड पैकेट नहीं था जिसे हम डिक्रिप्ट नहीं कर सकते थे। इसके लिए विशेष उपकरण की आवश्यकता थी, लेकिन यह आसानी से प्राप्त होने वाला उपकरण था। हमारे स्नाइपरों को शायद ही कभी एन्क्रिप्शन की परेशानी होती है, जिसमें दोहरे एन्क्रिप्टेड संचार शामिल हैं। इन दिनों यह कठिन हो सकता है। साथ ही, मैं DoD के काम से पहले नेवल इंटेल हूं। मुझे यकीन है कि अगर एनएसए आपके एन्क्रिप्टेड संचार को देखना चाहता है, तो वे कर सकते हैं। अब मैं आपको बताऊंगा कि आम तौर पर, वे इस बात की परवाह नहीं करते हैं कि आप क्या कह रहे हैं जब तक आप एक आतंकवादी से बात नहीं कर रहे हैं।
क्लोजनेटनोक

मेरे साथ यह हुआ कि मुझे कहना चाहिए कि मुझे यह पसंद नहीं है कि एनएसए क्या कर रहा है और न ही मुझे लगता है कि यह सही है। यह नहीं। मैं ट्रैफिक लोड को भी इंगित करना चाहता हूं ताकि वे सब कुछ न देख सकें और न ही वे कोशिश करेंगे। उनके लिए सबसे महत्वपूर्ण है कि किसी भी पैकेट की जांच करने से पहले संदिग्ध बिंदु बिंदु संचार स्थापित करने के लिए सबसे पहले पैकेट हैडर जानकारी है। इसलिए, आपके ब्लॉग पर जाने वाले किसी भी व्यक्ति के सूँघने की संभावना नहीं है जब तक कि वह ओसामा का पुनर्जन्म न हो या शायद उसका चचेरा भाई हो। (हास्य)
करीब

फिर एसएलएल आपके और आपके कौशल के साथ किसी के साथ समझौता किया जाता है, कि मैं इसे कैसे ले रहा हूं ... प्लस एडवर्ड स्नोडेन द्वारा प्रकाशितवाक्य और क्या जारी किया गया था इसका मतलब यह नहीं है कि वे हमारे बारे में सब कुछ रिकॉर्ड कर रहे हैं, जब वे कहते हैं कि वे हैं? या एनएसए ने जो किया है और जो कर रहा है, वह अपने लिए इन लीक को पढ़ना सही नहीं है?

पिछले कुछ प्रश्नों के लिए क्षमा करें। अभी बहुत कुछ है जो इस सब सामान के साथ नहीं हो रहा है जो हो रहा है।

6

HTTPS तीन चीजें हासिल कर सकता है:

  • प्रामाणिकता । यह सुनिश्चित करना कि आप वास्तविक डोमेन स्वामी के साथ संवाद कर रहे हैं।
  • गोपनीयता । यह सुनिश्चित करना कि केवल यह डोमेन स्वामी और आप संचार पढ़ सकते हैं।
  • अखंडता । यह सुनिश्चित करना कि सामग्री किसी और द्वारा संशोधित न हो।

संभवतः हर कोई इस बात से सहमत है कि रहस्य (जैसे पासवर्ड, बैंकिंग डेटा आदि) प्रसारित करते समय HTTPS अनिवार्य होना चाहिए।

लेकिन ऐसे कई अन्य मामले हैं जहां HTTPS का उपयोग क्यों और क्यों फायदेमंद हो सकता है:

हमलावर अनुरोधित सामग्री के साथ छेड़छाड़ नहीं कर सकते।

HTTP का उपयोग करते समय, eavesdroppers आपके वेबसाइट पर आपके आगंतुकों द्वारा देखी गई सामग्री में हेरफेर कर सकता है। उदाहरण के लिए:

  • सॉफ्टवेयर में मैलवेयर शामिल है जिसे आप डाउनलोड करने के लिए पेश करते हैं।
  • आपकी कुछ सामग्री को सेंसर करना। अपने भावों को बदलना।
  • विज्ञापनों में इंजेक्शन लगाना।
  • अपने दान खाते के डेटा को उनके स्वयं के साथ बदलना।

बेशक यह आपके उपयोगकर्ताओं द्वारा भेजी गई सामग्री पर भी लागू होता है, उदाहरण के लिए विकि संपादन। हालांकि, यदि आपके उपयोगकर्ता अनाम हैं, तो हमलावर किसी भी तरह से उपयोगकर्ता होने तक "अनुकरण" कर सकता है (जब तक कि हमलावर एक बॉट नहीं है और कुछ प्रभावी कैप्चा अवरोध है)।

हमलावर अनुरोधित सामग्री नहीं पढ़ सकते हैं।

HTTP का उपयोग करते समय, eavesdroppers को पता चल सकता है कि आपके विज़िटर आपके होस्ट पर कौन से पेज / कंटेंट एक्सेस करते हैं। हालाँकि सामग्री स्वयं सार्वजनिक हो सकती है, लेकिन एक विशिष्ट व्यक्ति जो ज्ञान खाता है वह समस्याग्रस्त है:

  • यह सोशल इंजीनियरिंग के लिए एक हमला वेक्टर खोलता है ।
  • यह गोपनीयता का उल्लंघन करता है।
  • यह निगरानी और सजा का अधिकार दे सकता है (कारावास, यातना, मृत्यु तक)।

बेशक यह आपके उपयोगकर्ताओं द्वारा भेजी गई सामग्री पर भी लागू होता है, उदाहरण के लिए संपर्क फ़ॉर्म के माध्यम से मेल।


यह सब कहा, बस HTTP के अलावा HTTPS की पेशकश केवल उन उपयोगकर्ताओं की रक्षा करेगा जो चेक (या स्थानीय रूप से लागू, जैसे HSTS के साथ ) कि वे इसका उपयोग कर रहे हैं। हमलावर अन्य सभी आगंतुकों को (असुरक्षित) HTTP संस्करण का उपयोग करने के लिए मजबूर कर सकते हैं।

इसलिए यदि आप इस निष्कर्ष पर आते हैं कि आप HTTPS की पेशकश करना चाहते हैं, तो आप इसे लागू करने पर विचार कर सकते हैं (HTTP से HTTPS पर सर्वर-रीडायरेक्ट, HSTS हेडर भेजें)।


1
बस विज्ञापनों के इंजेक्शन से बचने के लिए मुझे अपनी जानकारी साइट को एसएसएल पर स्विच करने के लिए पर्याप्त है।
बिल रूपर्ट

4

गुप्तता

चूंकि आपकी सामग्री सार्वजनिक है, इसलिए HTTPS स्पष्ट रूप से इसे छिपाएगा नहीं, लेकिन यह आपकी साइट की प्रकृति के आधार पर कुछ लाभ प्रदान कर सकता है।

एकांत

जब कोई HTTPS से अधिक पेज का अनुरोध करता है, तो अनुरोध एन्क्रिप्ट किया जाता है, इसलिए यदि कोई आपके आगंतुकों को देख रहा है, तो उन्हें पता नहीं चलेगा कि उन्होंने किन पृष्ठों का अनुरोध किया है। दुर्भाग्य से, DNS (आपकी वेबसाइट के डोमेन नाम के आधार पर एक आईपी पता प्राप्त करने के लिए सिस्टम) एन्क्रिप्टेड नहीं है, इसलिए एक पर्यवेक्षक अभी भी पहचान सकता है कि आपकी वेबसाइट पर कौन जाता है। यहां तक ​​कि अगर इसे एन्क्रिप्ट किया गया था, तो ज्यादातर मामलों में आप अभी भी बता सकते हैं कि कोई व्यक्ति आईपी पते के आधार पर किस वेबसाइट पर जा रहा है, जिसे इंटरनेट के मौजूदा डिजाइन में छिपाया नहीं जा सकता है।

विकिपीडिया HTTPS प्रदान करता है, जिसे आप सोच सकते हैं क्योंकि सामग्री सार्वजनिक है, लेकिन ऐसा करने से वे अपने उपयोगकर्ताओं की रक्षा करते हैं: यदि कोई विकिपीडिया पर (HTTPS का उपयोग करते हुए) "असंगत" चीजों को देख रहा है, तो उनकी सरकार यह नहीं बता सकती है कि वे कौन से पृष्ठ हैं रीडिंग, बस इतना है कि वे विकिपीडिया पर हैं। ट्विटर एक और मामला है जो सामग्री स्वयं सार्वजनिक है, लेकिन लोग जरूरी नहीं कि अन्य लोग यह जानना चाहते हैं कि वे इस पर क्या कर रहे हैं।

पासवर्ड सुरक्षा

HTTPS पर विचार करने का दूसरा मुख्य कारण यह हो सकता है कि आपके पास कोई लॉगिन पृष्ठ या अन्य स्थान हैं जहाँ आप उपयोगकर्ताओं से निजी डेटा स्वीकार करते हैं (अपने आप सहित)। यदि आप सभी HTTPS का समर्थन नहीं करते हैं, तो पासवर्ड और अन्य जानकारी "स्पष्ट" में भेजी जाएगी, और जो कोई भी नेटवर्क डेटा पढ़ सकता है, उन्हें देख सकता है (डरावना मामला आपके जैसे ही wifi नेटवर्क पर अन्य लोग भी इस्तेमाल करते हैं; अब इसमें विभिन्न सरकारी एजेंसियां ​​भी शामिल हैं जो ब्लैकमेल सामग्री की तलाश कर रही हैं)।

यदि आप लॉगिन पृष्ठ पर सिर्फ HTTPS का समर्थन करते हैं, लेकिन कहीं और नहीं, तो एक चतुर हमलावर लॉगिन पृष्ठ को छोड़कर हर पृष्ठ को बाधित करेगा, और HTTPS का उपयोग न करने के लिए "लॉगिन" लिंक को बदल देगा, फिर अपने संचार को बाधित करेगा (और यदि आप उस पृष्ठ को बाध्य करते हैं HTTPS के लिए, वे बस यातायात को रोक सकते हैं और इसका एक नकली संस्करण प्रदान कर सकते हैं जो काम करता है)। आप लॉग इन करने से पहले अपने URL बार में लॉक आइकन की जाँच करके इसे हमेशा रोक सकते हैं, लेकिन हर बार ऐसा करना किसी को याद नहीं रहता।


3

मैं मोटे तौर पर क्लोसेटनोक के बिंदुओं से सहमत हूं, लेकिन एक और बिंदु है जिसे अनदेखा किया गया है: टोर के उपयोगकर्ताओं को एग्जॉस्ट नोड्स को ईवेव्सड्रॉपिंग से रोकने के लिए एक एसएसएल संस्करण की आवश्यकता है

यदि आपको संदेह है कि आपके किसी भी पाठक ने टोर का उपयोग किया है, तो आपको एसएसएल सक्षम होना चाहिए।

इसके अलावा, मैक्स रीड की बात पर +1: बहुत कम से कम, आप गैर-महत्वपूर्ण ट्रैफ़िक के लिए एन्क्रिप्शन के उपयोग को सामान्य बनाने में मदद करते हैं, इस प्रकार वांछनीय पैकेटों की पहचान करने के लिए खुफिया एजेंसियों को प्रयास करने की आवश्यकता होती है।


मुझे एनएसए का जीवन कठिन बनाने का विचार पसंद है। दुर्भाग्य से, यह जीवन को चौतरफा कठिन बना सकता है। अधिक सीपीयू साइकल, बड़ा डेटा ट्रांसफर, अधिक पैकेट, धीमी अंतरण दर आदि, बेशक यह प्रति साइट पर एक छोटी ड्रिप है, लेकिन पर्याप्त साइटें और आपको बस एक वास्तविक समस्या हो सकती है कि एनएसए क्या कर रहा है। रुको। 2016 के दृष्टिकोण के रूप में एनएसए के पास एक गाँठ होगा, जो कि पूंछ में होगा। अभी यह एक $ $ के तहत सिर्फ एक छोटी सी आग है।
क्लिटनेटॉक

4
@closetnoc TLS स्थानांतरण आकार बढ़ाता है, क्या, जैसे, 1%? और कोई भी अर्ध-आधुनिक सीपीयू सभी क्रिप्टो को संभाल सकता है एक वेब ब्राउज़र उस पर फेंकने के लिए सोच सकता है। समस्या क्या है?
मैट नॉर्डहॉफ़

मैं सहमत हूँ। मैंने इसे एक छोटी बूंद कहा। शायद यह एक सुपर टिनी ड्रिप की तरह है। लेकिन मुझे संदेह है कि पर्याप्त सुपर टिनी ड्रिप वास्तव में रेखा के नीचे जीवन को प्रभावित करेगा। वेब के दायरे के बारे में सोचें और अगर हर कोई एसएसएल में स्थानांतरित हो गया, तो यह थोड़े तेजी से बढ़ेगा। यह जाल नीचे नहीं ले जा सकता है, लेकिन प्रभाव महसूस होगा कि मुझे यकीन है।
क्लिटनेटॉक

1
@closetnoc एक बड़ी चीज़ का 1% अभी भी 1% है।
मैट नॉर्डहॉफ

1
@closetnoc सभी टेलकोस में परिमित क्षमता होती है। कोई भी संत टेल्को 99% के आसपास कहीं भी अपने पोर्ट नहीं चलाता है। (कई पागल लोग नेटफ्लिक्स को निकालने के लिए करते हैं, हालांकि) अगर उन्होंने किया, तो हर बार एक नया जस्टिन बीबर संगीत वीडियो YouTube पर चला जाएगा।
मैट नॉर्डहॉफ

3

वास्तव में एसएसएल की लागत के अलावा अन्य कोई कारण नहीं है।

एक सामान्य वेबसर्वर परिनियोजन के लिए SSL थोड़ा उपरि जोड़ता है।

एन्क्रिप्शन को अनिवार्य बनाने के लिए http 2.0 मानक के लिए बातचीत कर रहे हैं: http://beta.slashdot.org/story/194289

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.