¿Siempre es una buena idea usar HTTPS? [duplicar]

Navega tus respuestas
3

Está bien, esta pregunta puede parecer una obviedad para un profesional, pero tenga en cuenta que no soy un desarrollador web profesional, por lo que mi conocimiento en este campo es muy limitado.

Con el tiempo he estado reflexionando sobre cómo decidir si debo hacer que mi sitio web sea accesible con HTTPS y HTTP (las páginas menos importantes que no necesitan cifrado) o si solo debo usar HTTPS para todas las páginas de mi sitio web.

La razón por la que hice esto es porque me temo que un Hombre en el ataque central podría, en teoría, inyectar un código JavaScript dentro de la página web cuando uno de los usuarios intenta navegar por el sitio web y provocar un comportamiento no deseado (como robar la autenticación cookie u otras cosas).

Entonces, lo que diría es que mis preguntas básicamente se reducen a:

1) ¿Es esto un error? ¿Realmente necesito HTTPS en todas partes. Es más computación. Y no, no vivo por ... ¿por qué preocuparme por el cómputo en la época actual? Con el hardware actual, debería poder contar el número de átomos en un sándwich en menos de un día: tipo de mentalidad. Creo que es una mala mentalidad para un programador, ya que invita a escribir algoritmos ineficientes descuidados. Si hay una mejor manera de hacer las cosas que permita cálculos más bajos, me gustaría escucharlo.

2) ¿Es posible de alguna manera que una persona inyecte un código no deseado en mis páginas web cuando está en tránsito a un usuario final, incluso si uso los certificados TLS? Sé que parece imposible pero, como dije, no soy un experto, por lo que me gustaría escuchar sus opiniones.

3) Finalmente, ¿es HTTPS una buena manera de prevenir los ataques de falsificación de solicitudes entre sitios? Escuché en algún lugar que lo es, aunque no pude entender la lógica detrás de él. Lo mejor que puede ayudar, por lo que veo, es permitir al usuario final darse cuenta de que la página web falsa no está protegida y ayudarlo a descubrir que algo es sospechoso. ¿Ayuda de alguna otra manera que no sea eso? ¿O necesito implementar algunos mecanismos extra a prueba de fallas para evitar eso?

¡Gracias por tu tiempo!

También, en respuesta a la reacción por duplicado, sigo creyendo que esta pregunta también es algo original en cuanto al hecho de que, además, pregunté acerca de los requisitos computacionales para una solución y también pregunté si se puede usar XSS incluso con TLS utilizado

    
pregunta Mr Sir 29.08.2015 - 18:49
fuente

2 respuestas

5

  1. Como con todas las cosas en seguridad, el uso de HTTPS es una compensación. Está intercambiando algo de rendimiento y, posiblemente, inconvenientes para el cliente para mejorar la seguridad y otros posibles beneficios (por ejemplo, Google aumenta las calificaciones de los sitios habilitados para SSL ). Solo usted puede responder si vale la pena, ya que solo usted sabe lo que hace su sitio y si la compensación vale la pena. Como regla general, diría que si está procesando datos personales o confidenciales para sus usuarios, probablemente valga la pena. Si ejecuta un sitio de folletos puramente estáticos, es probable que no. Una cosa es que si haces HTTPS (por ejemplo, porque tienes una sección registrada), hazlo en todo el sitio, no solo en lugares.

  2. En el caso general, los atacantes no podrían insertar código en su sitio, pero el panorama completo podría ser más complejo, dependiendo de lo que haga su sitio y de quién pueda atacarlo. Es seguro decir que en la mayoría de los casos es mucho más difícil que esto ocurra.

  3. Generalmente, HTTPS no protege contra ataques CSRF. Si un atacante puede hacer que un usuario que ha iniciado sesión realice una acción en su sitio, el hecho de que la acción se realice a través de una conexión cifrada no hace que eso sea diferente.

respondido por el Rоry McCune 29.08.2015 - 19:01
fuente
1

Con las modernas CPU de Intel (y estamos hablando de 5 a 7 años ...) no hay un impacto significativo en el rendimiento del cómputo involucrado en una conexión SSL. Entonces, desde una perspectiva de rendimiento, no hay razón para no usar SSL en todas partes.

Otra advertencia es la vulnerabilidad de contenido mixto en tu página. No debe hacer referencia a recursos HTTP en una página servida por HTTPS.

Si está utilizando las bibliotecas JS o CSS, acceda a ellas sin el protocolo como //css/mycsslib.css

    
respondido por el Danny Lieberman 30.08.2015 - 11:09
fuente

Lea otras preguntas en las etiquetas

Cierre de sesión vinculado a la caducidad de la cookie ¿Es apropiado bloquear la dirección de correo electrónico de un remitente?