¿Es una buena idea dejar de lado el soporte para algunos clientes inseguros en un sitio web?

2

Tengo un escenario en el que un sitio web seguro con una calificación general de A ssllabs está recibiendo algunas advertencias debido a la falta de soporte para navegadores que no son SNI.

  • Android 2.3.7 Certificado incorrecto porque este cliente no admite SNI
  • IE 6 / XP Conexión cerrada del servidor
  • IE 8 / XP Certificado incorrecto porque este cliente no admite SNI
  • Java 6u45 El cliente no admite los parámetros DH > 1024 bits

Me dieron la idea (quizás no la mejor) de permitir que esos navegadores accedan al sitio web enviando las solicitudes a un backend secundario inseguro (no https) utilizando la información del agente de usuario http.

Entiendo que permitir que esos clientes accedan al sitio web sería una violación de la seguridad, pero al menos podrán ver el sitio web.

Entonces, mi pregunta es sobre una concepción de seguridad, ¿qué es peor / mejor? ¿Permitir que esos clientes accedan al sitio web incluso si esto implica un problema de seguridad o dejar de ofrecer soporte para esos navegadores?

    
pregunta J. Canseco 25.09.2016 - 00:22
fuente

1 respuesta

0

En su caso particular, abandonar el soporte parece ser una buena idea.
Cada nuevo servicio que proporciones, agrega un potencial vector de ataque. Aparte de eso, aumenta el costo de mantenimiento de su producto. Agregar un mecanismo de soporte completamente nuevo para menos de 0.01% de usuarios no me parece una buena idea a menos que sean usuarios significativamente importantes (por ejemplo, tener un 10% de participación en sus ingresos o algo así).

Sin embargo, puede tener un sitio web seguro que use HTTP (el intercambio de pila no usa HTTPS). En un escenario general, diría que la decisión está más relacionada con cuestiones económicas y de mantenimiento que con cuestiones técnicas.

  • ¿Qué tanto quieres una calificación de A?
  • ¿Estos clientes generan ingresos suficientes para equilibrar el costo de mantenimiento de los servidores que no son HTTPS?
respondido por el Limit 25.09.2016 - 01:20
fuente

Lea otras preguntas en las etiquetas