¿Debe estar cifrada toda la web * realmente *? ¿No es el texto simple a veces más rápido / mejor? [duplicar]

Navega tus respuestas
1

Parece que hoy en día se acepta comúnmente que todas las comunicaciones de Internet deben estar cifradas.
(Por ejemplo, esto es evidente en la manera en que el estándar HTTP 2.0 requiere HTTPS).

Sin embargo, me cuesta trabajo creer que este es el camino correcto, pero siento que estoy solo en esta posición.

Considere, por ejemplo, la descarga de archivos grandes (películas, instaladores de aplicaciones, etc.).
Si los archivos no están cifrados, se puede enviar la misma copia exacta a varios clientes, lo que permite un mejor almacenamiento en caché y rendimiento de la red. (Por supuesto, esto se aplica igualmente a los archivos pequeños, pero la motivación para los archivos grandes es más evidente). Además, esto no implica una vulnerabilidad de seguridad: un servidor puede enviar el hash criptográfico del archivo a través de HTTPS, pero puede alojar el archivo a través de HTTP. El cliente puede verificar fácilmente el hash del archivo para verificar su integridad.

¿Por qué este enfoque no es deseado? ¿Por qué debería cifrarse toda la web, incluso cuando el contenido de la comunicación es claramente conocimiento público y se protege fácilmente mediante un hash?

    
pregunta Mehrdad 13.12.2014 - 12:00
fuente

2 respuestas

2

La sobrecarga adicional causada por el cifrado de su carga útil es casi cero, ya que las CPU de hoy pueden cifrar a velocidades de hasta cientos de MB / s. El único retraso notable es durante la configuración de la conexión, ya que necesita algunos viajes de ida y vuelta adicionales para configurar SSL / TLS. Sin embargo, si está transfiriendo archivos grandes, el costo de este viaje de ida y vuelta es insignificante.

Sí, el almacenamiento en caché de archivos sin cifrar aumentará el rendimiento. Sin embargo, hay una falta de privacidad. El operador del servidor de almacenamiento en caché puede ver el contenido de su descarga, ya que no está cifrado. Por lo tanto, el enfoque descrito anteriormente no es tan común.

Sin embargo, si solo necesitas verificar la integridad y no es necesario mantener la privacidad, entonces el método anterior está bien.

    
respondido por el limbenjamin 13.12.2014 - 13:25
fuente
1

Hay algunos conceptos erróneos o media verdad sobre HTTPS:

  • Rendimiento :
    • Si tiene muchas conexiones cortas, será mucho más lento porque los costos principales están en el intercambio de claves inicial y en los viajes de ida y vuelta adicionales necesarios para establecer la conexión SSL por encima de la conexión TCP. El cifrado en sí es barato, es decir, cuanto más se transfiere a través de la misma conexión, menos importante será la sobrecarga inicial.
    • El almacenamiento en caché de datos en middleboxes (servidores proxy, firewall) no será posible, pero el almacenamiento en caché en el punto final (navegador) aún funciona. Esto podría no ser un problema para la mayoría de los usuarios domésticos, pero es un problema para las conexiones de ancho de banda bajo o de alta latencia (enlaces de satélite) que a menudo usan servidores proxy de almacenamiento en caché para optimizar las conexiones. También será un problema con el almacenamiento en caché del contenido comúnmente utilizado (videos, etc.) en el ISP.
  • Privacidad :
    • HTTPS solo protege contra el olfateo o la manipulación del contenido. No oculta los puntos finales de la conexión ni el patrón de tráfico ni las solicitudes de DNS. Para el contenido público, esta información suele ser suficiente para averiguar qué sitios está visitando el usuario e incluso qué contenido de este sitio se ve.
    • El seguimiento adicional realizado por google-analytics y redes similares todavía se llevará a cabo, por lo que estos servicios de seguimiento aún saben lo suficiente sobre usted, incluso si un atacante solitario en la red no lo hará. Lo mismo ocurre con la publicidad y las redes sociales.
    • Y mientras que el encabezado Referer se elimina al realizar una solicitud HTTP desde dentro de un recurso HTTPS, se seguirá enviando entre dominios siempre que ambas solicitudes sean HTTPS.
  • Seguridad :
    • HTTPS brinda protección contra el olfateo o la manipulación del contenido.
    • HTTPS no hace nada para protegerse contra los ataques actuales, como los scripts de sitios cruzados, la falsificación de solicitudes de sitios cruzados, la inyección de SQL, las descargas de unidades u otros tipos de descargas de malware. Pero hará que sea más difícil detectar tales ataques dentro de los middleboxes. Si bien la intercepción SSL se puede usar en la mayoría de los casos, algunas aplicaciones como Dropbox utilizan la fijación de certificados y no hacen excepciones para los anclajes de confianza agregados por el usuario como Chrome o Firefox. De esta manera, esta aplicación no puede ser interceptada y, por lo tanto, debe estar bloqueada o se pasará sin inspección.
    • HTTPS protege contra la manipulación del contenido, lo que no hace HTTP. Incluso si a uno le gusta almacenar en caché el contenido público, la resistencia contra la manipulación es una característica deseada. Lo mismo es cierto para la identificación, es decir, es una característica deseada para verificar el origen incluso del contenido público. Pero esta es una característica que se podría proporcionar sin HTTPS, como usar el certificado de sitios para agregar una firma al contenido.
respondido por el Steffen Ullrich 14.12.2014 - 08:49
fuente

Lea otras preguntas en las etiquetas

¿Cómo pueden los softwares de seguimiento de portátiles robados sobrevivir a la reinstalación del sistema operativo? ¿es una posible vulnerabilidad copiar la contraseña sudo del documento abierto?