SSL (HTTPS) पर लोड करने के लिए साइट को मजबूर करने का क्या लाभ है?

55

मान लीजिए कि मेरे पास एक बड़ी सामग्री-केवल साइट है; कोई लॉगिन या लॉगआउट, कोई उपयोगकर्ता नाम, कोई ईमेल पता, कोई सुरक्षित क्षेत्र, साइट पर कुछ भी गुप्त नहीं है। लोग बस साइट पर आते हैं और पृष्ठ से पृष्ठ पर जाते हैं और सामग्री को देखते हैं।

Google से एसईओ में एक मामूली टक्कर ( बहुत मामूली, जो मैंने पढ़ा है) के अलावा, क्या साइट को HTTPS के माध्यम से लोड करने के लिए मजबूर करने का कोई लाभ है?

seo  https  http  load 
एरिक
स्रोत
1
मुझे विश्वास नहीं है कि यह साइट पर अब एसएसएल का उपयोग कर फोर्स का एक डुप्लिकेट है ? । हालाँकि कुछ उत्तर समान हो सकते हैं, फिर भी यह सवाल सलाह के लिए पूछ रहा है कि एसएसएल का उपयोग करें या नहीं, जबकि यह प्रश्न नहीं है। यदि कुछ हो, तो राय आधारित होने के लिए दूसरे प्रश्न को बंद कर देना चाहिए।
स्टीफन Ostermiller
4
आइए इसे चारों ओर फ्लिप करें: SSL का उपयोग न करने का क्या लाभ है? ऐसा कोई भी नहीं है जो मुझे पता हो। ओह, निश्चित रूप से, कार्यान्वयन जो एक बार बंद होगा और ले जाएगा (तुलनात्मक रूप से बाकी सब कुछ) कोई समय नहीं। इसलिए, यदि एक दृष्टिकोण में कोई डाउनसाइड नहीं है और कुछ अपसाइड होते हैं, तो दूसरे में कोई अपसाइड नहीं होता है और (आपके अनुसार) कोई डाउनसाइड नहीं होता है, तो ... उत्तरार्द्ध के साथ क्यों चिपके रहते हैं?
वीएलए
3
@ वृद्ध - प्रदर्शन। इन दिनों, हम अक्सर 1/2 सेकंड के लक्ष्य के साथ साइट के शुरुआती लोड समय को उप-सेकंड के प्रदर्शन के आंकड़ों के लिए अनुकूलित करने का प्रयास करते हैं। थोड़े धीमे इंटरनेट कनेक्शन (100 मीटर के आस-पास पैकेट विलंबता) पर SSL हैंडशेक आसानी से 300ms ले सकता है, जो आपको एक प्रदर्शन लक्ष्य पर अच्छी तरह से धकेल सकता है। मोबाइल उपयोगकर्ताओं के लिए इसके बदतर: मोबाइल नेटवर्क में पैकेट विलंबताएं हैं और प्रमाणीकरण सत्यापन के लिए प्रसंस्करण समय आसानी से एक सुस्त फोन पर एक और कुछ सौ एमएस हो सकता है।
जूल्स
6
मोबाइल वाहक हमेशा अनएन्क्रिप्टेड HTTP ट्रैफ़िक के साथ छेड़छाड़ करते हैं, चाहे वह छवि (ओवर) संपीड़न के लिए हो, बुराई जावास्क्रिप्ट या अधिक एग्रेसिव कैश-कंट्रोल हेडर को इंजेक्ट करता है। HTTPS उस सभी बकवास को रोक देगा।
आंद्रे बोरी
2
@ जोसेफ सच नहीं है। HTTP / 2 अनएन्क्रिप्टेड कनेक्शन पर भी काम करता है। कोई भी ब्राउज़र ऐसा नहीं कर सकता है, लेकिन यह ब्राउज़र सीमा है, न कि HTTP / 2। यह कहना कि "HTTP / 2 केवल टीएलएस पर काम करता है" यह कहने जैसा है कि "टेक्नोलॉजी एक्स काम नहीं करता है क्योंकि इंटरनेट एक्सप्लोरर इसे लागू नहीं करता है"। देखो यह हमें कहाँ ले गया।
Agent_L

जवाबों:

84

HTTPS केवल गोपनीयता प्रदान नहीं करता है (जिनमें से आप मूल्य पर संदेह कर रहे हैं, हालांकि अभी भी इसके अच्छे कारण हैं) लेकिन प्रामाणिकता भी है , जो हमेशा मूल्य की होती है। इसके बिना, एक दुर्भावनापूर्ण पहुंच बिंदु / राउटर / आईएसपी / आदि। उपयोगकर्ता को प्रदर्शित करने से पहले अपनी साइट के किसी भी हिस्से को फिर से लिख सकते हैं। इसमें शामिल हो सकते हैं:

  • अपने प्रतिस्पर्धियों के लिए विज्ञापनों को इंजेक्ट करना
  • उन विज्ञापनों या कष्टप्रद विजेटों को इंजेक्ट करना जो आपकी साइट को खराब करते हैं और आपकी प्रतिष्ठा को नुकसान पहुंचाते हैं
  • आगंतुक के कंप्यूटर पर मैलवेयर के ड्राइव-बाय डाउनलोड करने के लिए इंजेक्शन लगाना, जो तब (ठीक से!) आपको होने के लिए दोषी ठहराता है
  • अपनी साइट से सॉफ़्टवेयर डाउनलोड को उन लोगों के साथ बदल रहा है जिन्होंने मैलवेयर को बंडल किया है
  • आपकी छवियों की गुणवत्ता कम करना
  • आपकी साइट के कुछ हिस्सों को हटाकर वे आपको देखना नहीं चाहते हैं, उदाहरण के लिए वे चीजें जो उनकी स्वयं की सेवाओं के साथ प्रतिस्पर्धा करती हैं या उन्हें खराब रोशनी में चित्रित करती हैं
  • आदि।

अपने उपयोगकर्ताओं को इन चीजों से बचाने में असफल होना गैर-जिम्मेदाराना है।

आर ..
स्रोत
27
@ वास्तव में नहीं। ऐसा करने के लिए बहुत सारे ऑफ-द-शेल्फ सॉफ्टवेयर हैं, और यह सब ठीक हो जाता है।
सिजयोज़
3
@ वास्तव में नहीं। एक पूर्ण पुनर्लेखन प्रॉक्सी सभी ट्रैफ़िक को डिकोड कर सकती है और जो भी नया सामान नया चाहिए उसे इंजेक्ट कर सकती है।
नायुकी
10
FYI करें अगर मेरे सभी उदाहरण वास्तव में जंगली में नहीं देखे गए हैं।
आर। ..
2
@DavidMulder ने आपकी पहली टिप्पणी में कहा " डी सेंट्रलाइजेशन [...] अच्छी बात नहीं"
जिगुनगेर
3
क्या हम इस उत्तर पर टिप्पणियों को असंबंधित मुद्दों पर एक ऑफ-टॉपिक बिकेशेड-एस्केंट रेंट में बदल नहीं सकते हैं?
आर ..
25

"साइट पर कुछ भी गुप्त नहीं"

... के अनुसार आप । वहाँ एक पूरी तरह से ठीक कारण है कि कोई एक सुरक्षित कनेक्शन चाहता है। यह (आंशिक रूप से) गोपनीयता बनाता है:

मेरा व्यवस्थापक देख सकता है कि मैं url के माध्यम से अपने फोन पर कुछ चित्र साइट ब्राउज़ कर रहा हूं, लेकिन वह नहीं बता सकता है कि क्या मैं सुंदर बिल्लियों या कट्टर अश्लील की तस्वीरें देख रहा हूं। मैं कहूंगा कि यह बहुत अच्छी गोपनीयता है। "एक सामग्री" और "सामग्री" दुनिया में सभी अंतर बना सकती है। - Agent_L

आप सोच सकते हैं कि यह नगण्य है, या शायद यह अब एक बड़ी बात नहीं है, लेकिन समय के साथ एक और बिंदु पर हो सकता है। मैं एक दृढ़ विश्वासी हूँ कि कोई भी मुझसे अलग नहीं है और वेबसाइट को पता होना चाहिए कि मैं क्या कर रहा हूँ।

यह विश्वास पैदा करता है। पैडलॉक होना सुरक्षा का संकेत है और यह वेबसाइट के संबंध में कुछ हद तक कौशल का संकेत दे सकता है, और इस प्रकार आपके उत्पादों को।

यह आपको उदाहरण के लिए मित्म हमलों के लिए लक्ष्य से कम बनाता है। सुरक्षा बढ़ जाती है।

लेट्स एनक्रिप्ट जैसे पहल के साथ , जो इसे बहुत आसान और मुफ्त बनाते हैं , कई डाउनसाइड नहीं हैं। एसएसएल द्वारा ली गई सीपीयू पावर इन दिनों नगण्य है।

Martijn
स्रोत
11
दुर्भाग्य से SSL कॉर्पोरेट आईटी या आपके आईएसपी या सार्वजनिक कैफे वाईफाई पर लोगों को आपके साथ यह जानने से नहीं रोकता है कि आप किन साइटों पर जा रहे हैं। DNS लुकअप अभी भी स्पष्ट में किया जाता है । हालांकि वे सामग्री नहीं देख सकते हैं, न ही सटीक URL, और न ही आप वेब ब्राउज़र का उपयोग कर रहे हैं, वे देख सकते हैं कि आप penland.com का उपयोग कर रहे हैं (जो कि निश्चित रूप से, कलम उत्साही के लिए एक साइट है, लेकिन गलत समझा जा सकता है)। VPN या SOCKS5 प्रॉक्सी का उपयोग करने से आपके DNS प्रश्नों की सुरक्षा होगी।
Schwern
3
@Martijn: सर्वर नेम इंडिकेशन (जो सभी आधुनिक ब्राउजर सपोर्ट करते हैं) के साथ, वेबसाइट का होस्टनाम खुद को HTTPS हैंडशेक के हिस्से के रूप में स्पष्ट में भेजा जाता है। यह केवल साइडस्क्रीन हमलों की बात नहीं है और उदाहरण के लिए DNSsec के साथ कम नहीं किया जा सकता है।
केविन
3
@Schwern ने इस तर्क को कभी नहीं समझा कि HTTPS होस्ट नाम की रक्षा नहीं करता है क्योंकि DNS लुकअप और SNI और सर्वर का प्रमाणपत्र स्पष्ट है। निश्चित रूप से यह सच है, जैसा कि कहा गया है, लेकिन सादा पाठ HTTP इस संबंध में किसी भी तरह से बेहतर नहीं है!
बजे एक CVn
5
@Swwern मेरा व्यवस्थापक देख सकता है कि मैं अपने फ़ोन पर tumblr ब्राउज़ कर रहा हूँ, लेकिन वह नहीं बता सकता है कि क्या मैं सुंदर बिल्लियों या कट्टर पोर्न की तस्वीरें देख रहा हूँ। मैं कहूंगा कि यह बहुत अच्छी गोपनीयता है। "एक सामग्री" और "सामग्री" दुनिया में सभी अंतर बना सकती है।
एजेंट_
2
@Agent_L नहीं, यह भी अच्छी सलाह नहीं है। यदि आप https://penisland.tumblr.com/अपने ब्राउज़र पर जाते हैं तो एक DNS अनुरोध करेंगे penisland.tumblr.com, जब तक कि आपने अपने DNS प्रश्नों को सुरक्षित नहीं रखा है, नेटवर्क व्यवस्थापक देख सकता है। फिर आपके ब्राउज़र को विभिन्न डोमेन से छवियां, जावास्क्रिप्ट, सीएसएस, और विज्ञापन प्राप्त करने होंगे जो अधिक DNS अनुरोध उत्पन्न करते हैं। वे किसी भी डोमेन से हो सकते हैं। कुछ पोर्न टम्बलर डोमेन मैंने कोशिश की कुछ भी स्पष्ट नहीं है, टम्बलर घर में छवियों और वीडियो की मेजबानी करता है, लेकिन आप गोपनीयता के लिए उस पर भरोसा नहीं कर सकते
Schwern
12

आप HTTP / 2 समर्थन प्राप्त करते हैं, वेबसाइट लोडिंग गति में सुधार करने के लिए डिज़ाइन किए गए नए वेब मानक ।

क्योंकि ब्राउज़र निर्माताओं ने HTTP / 2 को केवल HTTPS का समर्थन करने के लिए चुना है, HTTPS को सक्षम करना (एक सर्वर जो HTTP / 2 का समर्थन करता है) इस स्पीड अपग्रेड को प्राप्त करने का एकमात्र तरीका है।

user2428118
स्रोत
1
यह बहुत बड़ा है और इसे और अधिक सम्मोहित करने की आवश्यकता है। यह HTTPS को लोड करने के लिए एक व्यावसायिक मामला बनाता है, जिसमें अधिकांश प्रबंधक पीछे हो सकते हैं।
डेवी मॉर्गन
10

( इसी तरह के प्रश्न के लिए मेरे उत्तर से लिए गए अंश।)

HTTPS दो चीजें हासिल कर सकता है:

  • प्रमाणीकरण । यह सुनिश्चित करना कि आगंतुक वास्तविक डोमेन स्वामी के साथ संवाद कर रहा है।
  • एन्क्रिप्शन । यह सुनिश्चित करना कि केवल यह डोमेन स्वामी और आगंतुक अपने संचार को पढ़ सकते हैं।

संभवतः सभी सहमत हैं कि रहस्यों को प्रसारित करते समय HTTPS अनिवार्य होना चाहिए (जैसे पासवर्ड, बैंकिंग डेटा आदि), लेकिन भले ही आपकी साइट इस तरह के रहस्यों को संसाधित नहीं करती है, फिर भी कई अन्य मामले हैं जहां और HTTPS का उपयोग फायदेमंद हो सकता है।

हमलावर अनुरोधित सामग्री के साथ छेड़छाड़ नहीं कर सकते।

HTTP का उपयोग करते समय, eavesdroppers आपके वेबसाइट पर आपके आगंतुकों द्वारा देखी गई सामग्री में हेरफेर कर सकता है। उदाहरण के लिए:

  • सॉफ्टवेयर में मैलवेयर शामिल है जिसे आप डाउनलोड करने के लिए पेश करते हैं (या यदि आप कोई सॉफ्टवेयर डाउनलोड की पेशकश नहीं करते हैं, तो हमलावर ऐसा करना शुरू करते हैं)।
  • आपकी कुछ सामग्री को सेंसर करना। अपने भावों को बदलना।
  • विज्ञापनों में इंजेक्शन लगाना।
  • अपने दान खाते के डेटा को उनके स्वयं के साथ बदलना।

HTTPS इसे रोक सकता है।

हमलावर अनुरोधित सामग्री नहीं पढ़ सकते हैं।

HTTP का उपयोग करते समय, eavesdroppers सीख सकते हैं कि कौन से पृष्ठ / सामग्री आपके होस्ट पर आपके विज़िटर एक्सेस करते हैं। हालाँकि सामग्री स्वयं सार्वजनिक हो सकती है, लेकिन एक विशिष्ट व्यक्ति जो ज्ञान खाता है वह समस्याग्रस्त हो सकता है:

  • यह सोशल इंजीनियरिंग के लिए एक हमला वेक्टर खोलता है ।
  • यह गोपनीयता का उल्लंघन करता है।
  • यह निगरानी और सजा का अधिकार दे सकता है (कारावास, यातना, मृत्यु तक)।

यह, ज़ाहिर है, आपकी सामग्री की प्रकृति पर निर्भर करता है, लेकिन जो चीज़ आपको हानिरहित लगती है, उसकी व्याख्या अन्य पक्षों द्वारा अलग-अलग तरीके से की जा सकती है।

माफी माँगने से बेहतर है सुरक्षित रहना। HTTPS इसे रोक सकता है।

UNOR
स्रोत
1
दरअसल, HTTPS इसे रोक सकता है। कुछ स्थितियों में, यह नहीं हो सकता है। देखें Lenovo Superfish एक काफी हाल ही में, उदाहरण के लिए।
बजे एक CVn
@ माइकलकॉर्जलिंग: हां, मुझे इस बारे में पता है (इसीलिए मैंने "कैन";) का उपयोग करना सुनिश्चित किया है, लेकिन यह विज़िटर के व्यवहार से उपजा एक मुद्दा है, न कि खुद HTTPS के साथ एक मुद्दा या जिस तरह से वेबमास्टर का उपयोग करता है। यह सही? आगंतुक को इस बात की परवाह करनी चाहिए कि कौन से CA को भरोसा करना चाहिए (और आगंतुक को इस बात की परवाह करनी चाहिए कि कौन सा सॉफ़्टवेयर इंस्टॉल करना है, खासकर यदि उसे CA की सूची के साथ विश्वास करने की अनुमति है)।
अपराह्न
वास्तव में; मैं आपकी बात के खिलाफ नहीं, केवल इसे जोड़ रहा हूँ!
एक CVn
6

यह मध्य हमलों में आदमी को रोकता है जो आपको लगता है कि आप अपनी साइट पर जा रहे हैं, लेकिन एक पृष्ठ पेश करें जो वास्तव में दूसरे से है और आपके बारे में जानकारी प्राप्त करने का प्रयास कर सकता है। चूंकि डेटा एन्क्रिप्ट किया गया है, इसलिए यह एक हमलावर के लिए पृष्ठ को हेरफेर करने के लिए और अधिक कठिन बना देता है जैसा कि आप इसे देखते हैं।

क्योंकि आपको एक एसएसएल प्रमाणपत्र की आवश्यकता होती है, जो यह सत्यापित करता है कि आप कम से कम कुछ सत्यापन के लिए साइट के मालिक हैं कि आप कौन हैं।

लूटना
स्रोत
3

जब आप एसएसएल का उपयोग नहीं करते हैं तो हिटवाइज जैसी मार्केटिंग फर्में आपकी साइट के बारे में डेटा इकट्ठा करने के लिए आईएसपी का भुगतान करती हैं। आपकी साइट के बारे में डेटा एकत्र किया जाता है, जिसे आप नहीं बल्कि अपने प्रतिस्पर्धियों को पता कर सकते हैं:

  • उपयोगकर्ता जनसांख्यिकी
  • आगंतुक आँकड़े
  • लोकप्रिय पेज
  • खोज इंजन कीवर्ड (हालांकि "प्रदान नहीं किए गए" के साथ यह इन दिनों एक समस्या से कम है)
स्टीफन ओस्टरमिलर
स्रोत
3

और, सभी उत्तरों में एक और बात जोड़ना है, मैं सिर्फ विलंबता के बारे में बात करूंगा क्योंकि, ऐसा लगता है कि इस बारे में यहां किसी ने नहीं लिखा।

कम क्लाइंट-टू-सर्वर HTTP विलंबता फास्ट लोडिंग, उत्तरदायी वेबसाइटों को बनाने के लिए महत्वपूर्ण है।

अकेले टीसीपी / आईपी में 3-रास्ता हैंडशेक है (टीसीपी पर सादे HTTP के लिए प्रारंभिक कनेक्शन सेटअप 3 पैकेट की आवश्यकता है)। जब एसएसएल / टीएलएस का उपयोग किया जाता है, तो कनेक्शन सेटअप अधिक शामिल होता है, जिसका अर्थ है कि नए एचटीटीपीएस कनेक्शन के लिए विलंबता, प्लेनटेक्स्ट HTTP की तुलना में अपरिहार्य रूप से अधिक है।

HTTP के साथ समस्या यह है कि यह सुरक्षित नहीं है। इसलिए यदि आपके पास संवेदनशील डेटा है, तो आपको सुरक्षा के कुछ रूप चाहिए। जब आप अपने वेब ब्राउज़र में "https" से कुछ टाइप करते हैं, तो आप ट्रैफ़िक की सुरक्षा के लिए अपने ब्राउज़र से एन्क्रिप्शन परत का उपयोग करने के लिए कह रहे हैं। यह गरुड़ के खिलाफ उचित संरक्षण प्रदान करता है, लेकिन समस्या यह है कि यह धीमा होगा। चूंकि हम अपने ट्रैफ़िक को एन्क्रिप्ट करना चाहते हैं, इसलिए इसमें कुछ संगणना शामिल होगी, जो समय के साथ जुड़ जाती है। इसका मतलब है कि यदि आप अपने सिस्टम को सही ढंग से डिज़ाइन नहीं करते हैं, तो आपकी वेबसाइट उपयोगकर्ताओं के लिए सुस्त दिखाई देगी।

समाप्त करने के लिए:

मेरे पास एक बड़ी सामग्री-केवल साइट है; कोई लॉगिन या लॉगआउट, कोई उपयोगकर्ता नाम, कोई ईमेल पता, कोई सुरक्षित क्षेत्र, साइट पर कुछ भी गुप्त नहीं है। लोग बस साइट पर आते हैं और पृष्ठ से पृष्ठ पर जाते हैं और सामग्री को देखते हैं।

अगर ऐसा है, तो मैं एसएसएल का उपयोग बिल्कुल नहीं करूंगा। जब आप इसे एक सेकंड में खोलते हैं तो मैं अपना पृष्ठ रखना चाहूंगा। यह उपयोगकर्ता के अनुभव से है। आप अपनी इच्छानुसार करते हैं, मैं सिर्फ मेरे द्वारा बनाई गई हर चीज पर प्रमाण पत्र नहीं लगाता। इस विशेष मामले में, मैं इसका इस्तेमाल बिल्कुल नहीं करूंगा।

जोसिप आइविक
स्रोत
IMO, यह केवल एक सही उत्तर के रूप में है जितना कि सभी को मिल रहा है।
21
youtube.com/watch?v=e6DUrH56g14 प्रदर्शन तकनीकों को कम करने के लिए कुछ तकनीकों का उल्लेख करता है, भले ही आप (या अपने ग्राहकों का एक बड़ा हिस्सा) किसी कारण से HTTP / 2 नहीं कर सकते।
बजे एक CVn
1

अन्य लोगों द्वारा बताए गए लाभों के अलावा, एक कारण है जो आपको SSL पर स्विच कर देगा जब तक आप क्रोम का उपयोग करने वाले अपने आगंतुकों के बारे में परवाह नहीं करते हैं - क्रोम के नए संस्करण (वर्ष के अंत से शुरू जहां तक ​​मुझे याद है) उन सभी साइटों के लिए डिफ़ॉल्ट रूप से एक चेतावनी (जो आपकी साइट से उपयोगकर्ताओं को हटा देगी) को दिखाने के लिए जा रही है जो HTTPS का उपयोग नहीं कर रहे हैं।

// संपादित करें:

यहाँ दो और विस्तृत लेखों के लिंक दिए गए हैं, हालाँकि मैं उस बारे में नहीं जान सकता हूँ जिसे मैंने पढ़ा है जब वे आधिकारिक तौर पर फीचर पेश करने की योजना बना रहे हैं:

https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-unencrypted-chrome-https

http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/

स्लेज हैमर
स्रोत
यह उत्तर में किए गए दावे के लिए एक आदर्श उद्धरण नहीं है, लेकिन हमेशा HTTP के रूप में गैर-सुरक्षित मार्किंग है
एक CVn
1

सरल उत्तर यह है कि कोई अच्छा कारण नहीं है । अतीत में केवल एसएसएल का उपयोग करने के बारे में तर्क थे जहां बिल्कुल आवश्यक (जैसे ई-कॉमर्स साइटों पर भुगतान विवरण एकत्र करना)।

ये बड़े पैमाने पर एसएसएल प्रमाणपत्रों की स्थापना प्रक्रिया, लागत, वेबसर्वर पर अतिरिक्त भार और नेटवर्क सीमाओं के साथ करने के लिए थे - ऐसे समय में जब लोगों के पास ब्रॉडबैंड आदि नहीं थे। इन कारणों में से कोई भी वास्तव में 2016 में लागू नहीं होता है।

एसईओ के संदर्भ में, हम जानते हैं कि अधिकांश खोज इंजनों का लक्ष्य अपने उपयोगकर्ताओं के लिए सर्वोत्तम परिणाम प्रदान करना है, और यह उन्हें उस साइट पर एक सुरक्षित कनेक्शन देकर किया जा सकता है जिसे वे ब्राउज़ कर रहे हैं। इस संबंध में खोज इंजनों को परवाह नहीं है कि साइट पर "संवेदनशील" डेटा है (या तो प्रस्तुत किया जा रहा है, या एकत्र किया गया है); यह बस मामला है कि अगर साइट को HTTPS से अधिक परोसा जाता है, तो प्रमाणीकरण और एन्क्रिप्शन के किसी भी संभावित जोखिम को बहुत कम कर दिया जाता है, इसलिए साइट को HTTPS के बिना समकक्ष साइट की तुलना में "बेहतर" माना जाएगा।

अनिवार्य रूप से, यह लागू करने के लिए इतना सरल और सीधा है, यह आजकल सबसे अच्छा अभ्यास के रूप में देखा जाता है। एक वेब डेवलपर के रूप में, मैं सिर्फ एक एसएसएल प्रमाणपत्र स्थापित करने पर विचार करता हूं और फिर किसी भी साइट या वेब एप्लिकेशन के एक मानक भाग के रूप में HTTPS पर सभी अनुरोधों (.htaccess या समकक्ष का उपयोग करना बहुत आसान) के लिए मजबूर करता हूं।

एंडी
स्रोत
1

अन्य उत्तरों के अलावा, ब्राउज़रों को (RFC 2119 में) User-Agentहेडर भेजना चाहिए । यह इस बारे में पर्याप्त जानकारी प्रदान करता है कि यदि वह वास्तविक भेजता है तो उपयोगकर्ता किस प्लेटफॉर्म का उपयोग कर रहा है User-Agent। यदि ऐलिस ऐलिस द्वारा किए गए एक अनुरोध पर ईव्सड्रॉप कर सकता है, और ऐलिस वास्तविक भेजता है User-Agent, तो ईव को पता चलेगा कि ऐलिस ऐलिस के बिना ईवस सर्वर से संबंध बनाए बिना किस प्लेटफॉर्म का उपयोग करता है। ऐसे ज्ञान के साथ ऐलिस के कंप्यूटर में हैक करना आसान होगा।

v7d8dpo4
स्रोत
यह कहना थोड़ा सा है कि यदि ईव ऐलिस की कार के विंड नंबर को कार की विंडशील्ड के माध्यम से देख सकता है, तो ईव के लिए ऐलिस की कार में ब्रेक लगाना आसान हो जाता है क्योंकि वीआईएन नंबर उसे यह पता लगाने की अनुमति देता है कि एलिस का क्या ब्रांड और मॉडल कार है। निश्चित रूप से, यह एक संभावना है, लेकिन कुछ तरीकों के बिना बहुत कुछ प्राप्त करने के लिए बहुत सारे तरीके हैं, उन तरीकों से जो नेटवर्क पर पत्ती के नोड के लिए इंटरनेट पृष्ठभूमि शोर से अधिक मुश्किल से कुछ भी पंजीकृत करेंगे। उदाहरण के लिए: ईव (या शायद मैलोरी) ऐलिस को अपने नियंत्रण में एक वेब पेज का लिंक ई-मेल कर सकता है। लोग लिंक पर क्लिक करना पसंद करते हैं।
बजे एक CVn
1

आपके पास अपने मुख्य डोमेन (mysite.com) और इसके उप-डोमेन (play.mysite.com और test.mysite.com) को सुरक्षित करने के लिए दो विकल्प हैं। एसएसएल केवल ई-कॉमर्स, भुगतान व्यापारी साइटों के लिए ही नहीं है, जहां वित्तीय लेनदेन या लॉगिन क्रेडेंशियल वेबसाइट पर साझा किए जाते हैं। यह सामग्री-आधारित वेबसाइट के लिए भी उतना ही महत्वपूर्ण है। हमलावर हमेशा सादे HTTP वेबसाइट या वेबसाइट में खामी खोजते हैं। एसएसएल न केवल सुरक्षा प्रदान करता है बल्कि आपकी वेबसाइट को भी प्रमाणित करता है। सामग्री-आधारित वेबसाइट पर एसएसएल होने का मुख्य लाभ यह है कि,

  • आप मानव-मध्य हमले से बच सकते हैं जो साइट की सामग्री को बदल सकते हैं।

  • इसके अलावा, आपकी वेबसाइट में प्रामाणिकता होगी जो आगंतुकों को सूचित करती है कि वेबसाइट के साथ साझा करने पर उनकी जानकारी सुरक्षित हो जाएगी।

  • उन्हें वेबसाइट की प्रामाणिकता के बारे में आश्वासन मिलता है।

  • इसके अलावा, आपकी वेबसाइट दुर्भावनापूर्ण विज्ञापनों, कारनामों, अवांछित विजेट्स, सॉफ़्टवेयर प्रतिस्थापन और वेब पेजों को नुकसान पहुंचाने से मुक्त हो जाएगी, जब आपकी वेबसाइट पर SSL होगा।

  • एसएसएल प्रमाणपत्र स्थैतिक साइट सील प्रदान करता है जिसे आश्वासन के लिए किसी भी वेब पेज पर रखा जा सकता है और ग्राहक स्थापित एसएसएल प्रमाणपत्र के विवरण को जानने के लिए सील पर क्लिक कर सकते हैं।

जेसन पारम्स
स्रोत
1

अन्य उत्तरों ने HTTPS के लाभों के बारे में बात की। क्या कोई उपयोगकर्ता HTTPS का उपयोग करने के लिए मजबूर होगा ? दो कारणों से:

  • यदि आप उपयोगकर्ताओं को HTTPS का उपयोग नहीं करने का विकल्प देते हैं, तो वे संभवतः नहीं करेंगे, खासकर जब पता पट्टी में एक डोमेन टाइप करते समय अधिकांश ब्राउज़र http: // और नहीं https: // के लिए डिफ़ॉल्ट होते हैं।
  • एक सुरक्षित संस्करण और असुरक्षित संस्करण दोनों को लागू करके, आप कनेक्शन की हमले की सतह को बढ़ाते हैं। आप हमलावरों को एक डाउनग्रेड हमले करने का मौका देते हैं, भले ही आपको लगता है कि आप सुरक्षित संस्करण का उपयोग कर रहे हैं।
  • यदि आप प्रत्येक http: // URL को समकक्ष https: // एक पर पुनर्निर्देशित करते हैं, तो यह सर्वर के व्यवस्थापक और खोज इंजन के लिए जीवन को आसान बनाता है। किसी को इस बारे में चिंता करने की ज़रूरत नहीं है कि http: // और https: // का मतलब समतुल्य है या पूरी तरह से अलग-अलग चीजों को इंगित करने के लिए है, एक दूसरे को पुनर्निर्देशित करके यह सभी के लिए स्पष्ट है कि URL का उपयोग करने के लिए क्या है।
Flimm
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.