¿Cómo es seguro un inicio de sesión HTTPS cuando las páginas usan HTTP?

9

Cuando alguien visita el sitio web de eBay, utiliza una conexión no cifrada entre su PC y el servidor de eBay. Si inician sesión, se redirigen a un sitio seguro identificado por su certificado y pueden enviar credenciales de inicio de sesión. Una vez que el usuario ha iniciado sesión, se redirige de nuevo a la conexión insegura.

Me pregunto ... ¿por qué Ebay usa este comportamiento? ¿Por qué después de que se autentica al usuario, cómo siguen utilizando una conexión segura entre su PC y el servidor de eBay?

    
pregunta yzT 29.05.2013 - 12:05
fuente

2 respuestas

4

Puede que no hayas notado esto, pero stackexchange funciona exactamente igual. La autenticación en la que se envían el nombre de usuario y la contraseña se realiza a través de una conexión https (asegurada con SSL o TLS), luego de que el identificador de la sesión se envía directamente a través de http, lo que podría permitir a los atacantes robar su sesión.

Ahora stackexchange funciona exactamente igual y muchos usuarios preguntaron lo mismo, " ¿Por qué haces esto? " La explicación fue que la configuración de las conexiones SSL requiere mucha CPU, es posible que no lo notes en tus propios servidores web, pero cuando recibe miles de solicitudes por segundo, esto puede ser problemático. Ahora hay soluciones para esto como la descarga de SSL, pero son bastante caras.

Por lo tanto, creo que la razón por la cual ebay hace esto es muy similar a la razón por la que stackexchange lo hace: cuesta dinero.

    
respondido por el Lucas Kauffman 29.05.2013 - 12:32
fuente
6

Hay un resultado frecuentemente citado de Google que indica que cuando cambiaron Gmail a SSL en todo el sitio, solo vieron una pequeña sobrecarga que podría descuidarse. Sin embargo, un punto importante es que es para Gmail , que no es necesariamente una aplicación web típica.

La sobrecarga de CPU para SSL es pequeña. Un núcleo de CPU de PC básico puede realizar el cifrado AES a más de 100 MB / s. La criptografía que ocurre durante el establecimiento de la sesión (el "apretón de manos") se puede hacer varios cientos de veces por segundo con el mismo tipo de núcleo, y no ocurre a menudo, gracias a HTTP keep-alive y al "protocolo de intercambio abreviado" de SSL. Es lógico que SSL implementado correctamente no obstruya la CPU del servidor para la mayoría de los sitios web.

La sobrecarga de red para una sola conexión también es leve. Cuando está en pleno desarrollo, una conexión SSL / TLS divide los datos en registros individuales, con un encabezado y algunos bytes para soporte criptográfico: 5 bytes para el encabezado, 16 bytes para el registro por IV si se usa TLS 1.1+ y AES / CBC. 32 bytes para un SHA-256 HMAC y 1 a 16 bytes de relleno para alineación. A lo sumo 69 bytes. Pero el registro puede incrustar hasta 16384 bytes de datos de aplicación, por lo que estamos hablando de un ancho de banda adicional de 0.4%. De nuevo, eso es despreciable.

Sin embargo, hay una sobrecarga de red en todo el sitio debido al almacenamiento en caché . Cuando muchos clientes distintos deben descargar la misma pieza de datos, vale la pena usar cachés, ubicados entre el servidor principal y los clientes: cuando una conexión de cliente, pasando por un caché, es para un archivo que tiene el caché, El caché puede responder sin tener que molestar al servidor principal. El cliente y el servidor no necesitan estar conscientes de ese mecanismo; eso se llama un proxy transparente . Muchos ISP ejecutan ese tipo de sistema.

Los cachés no ayudarán mucho con Gmail, porque cada usuario tiene su propio buzón y hay pocos archivos que se compartirán entre distintos usuarios. Sin embargo, la situación con Ebay puede ser diferente, con todas las fotos del artículo que envían, por definición, a muchos clientes. Es altamente plausible que el almacenamiento en caché beneficie a muchas más infraestructuras de Ebay que a las de Gmail. Sin embargo, y ese es el punto difícil, SSL evita la mayor parte de este almacenamiento en caché. Al utilizar SSL en todo el sitio, Ebay podría posiblemente incurrir en un impacto no despreciable, lo suficiente como para darles una razón para hacer una pausa y pensar. No digo que Ebay no esté haciendo SSL en todo el sitio es probado como una cuestión de rendimiento relacionado con el caché, pero al menos es una razón posible .

Por supuesto, no hacer SSL significa que las escuchas pasivas y los ataques activos son una posibilidad. Desde el punto de vista de Ebay, hay compensaciones en todas partes entre la seguridad y la facilidad de uso. En última instancia, como dice @Lucas, se trata de dinero.

    
respondido por el Thomas Pornin 23.07.2013 - 17:47
fuente

Lea otras preguntas en las etiquetas