似乎https正在变得越来越受欢迎。 所以我的问题是何时适用于使用https? 它有什么样的优点和缺点?
谢谢!
我认为使用(或者至less提供)SSL / HTTPS 总是合适的,当密码,支付信息,社会安全号码/其他个人识别信息正被传送时,它是强制使用的。 它有一个开销 ,但在我眼里,成本永远是值得的。
这只是我的意见,当然:-)
如果你想传输任何敏感的信息,如login信息或其他个人身份信息(除非这些数据是你的全部观点,如Facebook或LinkedIn),HTTPS的使用是非常必要的。
更广泛地说,HTTPS是否是一个好主意,有各种各样的竞争驱动因素。
根据您的网站计划,上述内容可能适用于您,也可能不适用于您。 这一切都取决于您计划扩展网站的程度,以及您的目标受众是什么。
这BizTech杂志文章看起来像涵盖了所有的基础知识。 从根本上说:
HTTPS与其他协议,安全套接字层(SSL)
这听起来像是一个重言式,但是当你需要安全地发送数据时,你想要使用https。 这将是类似付款细节,银行对帐单等任何你不想第三方阅读。
但是,当安全性是必须的,HTTPS将发送者和接收者区分开来。 SSL获取数据,即将到来或encryption。 这意味着SSL使用mathalgorithm来隐藏数据的真实含义。 希望这个algorithm是如此复杂,要么是不可能的,要么非常难以破解。
任何时候你发送私人信息来回。 如果您不使用HTTPS,信息将通过互联网以纯文本forms传输,并且可以进行嗅探。
这可能是一个很好的开始: http : //en.wikipedia.org/wiki/Transport_Layer_Security
但总之,当你想要一个安全的连接。
当你想encryption你的网站和用户之间的数据时使用HTTPS。 HTTP默认情况下以纯文本格式发送数据。 任何正在监听用户和网站之间连接的攻击者都可以嗅探到这些数据。 由于这些数据是纯文本的,攻击者可以获取您的凭据和其他私人信息。
HTTPS是HTTP与SSL一起使用的。 使用HTTPS,所有数据都以encryptionforms发送。 请注意,HTTPS不会阻止嗅探,它只能确保嗅探的数据不能被攻击者读取。
所以,只要你想在你的网站和用户之间encryption数据,你就会想要使用HTTPS。
欲了解更多信息。 阅读下面的维基百科文章。 http://en.wikipedia.org/wiki/HTTP_Secure
我同意Josh的观点,在传输任何可能用来促进身份盗用的数据时,encryption应该被视为强制性的。 而对于networking访问几乎不可避免地意味着SSL。
为了保护信用卡信息和其他私人信息,我常常感到惊讶,但是却没有提供任何密码保护,遗憾的是许多用户在很多网站上重复使用相同的密码。
同样,你需要小心和select有关替代标识符,如cookie。 很多人得到这个错误。 例如,很多人认为将cookies设置为SSL只能防止MITM攻击,但只有在确保不会受到会话固定的影响时。 拥有SSL证书和HTTPS 并不意味着您的网站是安全的 。 大多数用户无法区分 – 但是我可以阅读一篇研究报告,发现大多数用户无法区分使用HTTPS的站点和安装有挂锁的站点之间的安全性差异。
响应时间很长,当然中间代理不能提供任何caching。 负载平衡也是一个PITA。