Tengo un servicio web al que se puede acceder solo desde sitios web alojados en el mismo servidor (uso 127.0.0.1 ip).
¿Debo usar SSL para las comunicaciones entre los sitios y el servicio, o eso solo crearía una sobrecarga innecesaria sin aumentar la seguridad?
Tenga en cuenta que todas las comunicaciones entre los sitios web y el servicio web se realizan dentro del servidor. Todos están alojados en el mismo servidor iis7.5.
No, no es necesario nunca cifrar el tráfico de bucle invertido con SSL. El tráfico de bucle invertido nunca abandona la máquina, ya que la interfaz es virtual. El tráfico ni siquiera llega a un controlador de dispositivo de una NIC real.
Para capturar el tráfico de bucle invertido, un atacante tendría que ejecutar un programa de captura en su máquina. Una vez que un atacante tiene ejecución de código en su máquina, usted es el propietario . Se acabó el juego.
El cifrado del tráfico no tiene sentido cuando solo pueden leer los datos de origen o leer los búferes de texto sin formato de la memoria.
Si no hay acceso a la máquina desde ninguna otra máquina, no veo el motivo de ssl.
De lo contrario:
Si parte de su red es inalámbrica, use ssl. Si no es la única persona en la red, use ssl.
Si puede acceder a la red desde el mundo exterior a través de VPN o reenvío de puertos, use ssl.
Es una medida de seguridad adicional cuando está oculto detrás de NAT, pero no notará una caída en el rendimiento a menos que quiera transmitir 1080p a través de este protocolo.
No. No creo que necesites preocuparte por SSL. No hay necesidad de ello.
Pero si permite a cualquier usuario o código no confiable en su máquina, ponga su servicio en un puerto de número bajo (por debajo de 1024), de modo que otros procesos no puedan vincularse a esa dirección y robe el tráfico destinado a su servicio. Como alternativa, asegúrese de que su servicio se inicie en el arranque y se vincule inmediatamente a ese puerto (para evitar que otros se vinculen a él), organice el reinicio en caso de que se muera o se bloquee y registre un error crítico si alguna vez detecta eso no se puede enlazar a ese puerto porque algún otro proceso ya lo ha hecho.
Si puede usar SSL para su aplicación, entonces podría hacerlo. Incluso si no tiene la necesidad de presionarlo para usarlo ahora, sí ayuda a que la opción esté disponible y sea fácil de activar para cuando finalmente migre a una arquitectura de servidor remoto y realmente necesite la seguridad.