security - zipansion - হাইপারটেক্সট ট্রান্সফার প্রোটোকল সিকিউর




কেন সবকিছুর জন্য HTTPS ব্যবহার করবেন না? (11)

যদি আমি একটি সার্ভার সেট আপ করছিলাম এবং SSL শংসাপত্র (গুলি) ছিল তবে কেন আমি কেবলমাত্র কেনাকাটা / লগইনগুলির জন্য সমগ্র সাইটের জন্য HTTPS ব্যবহার করব না? আমি মনে করি এটি সম্পূর্ণ সাইট এনক্রিপ্ট করার জন্য আরও ইন্দ্রিয় তৈরি করবে এবং ব্যবহারকারীকে সম্পূর্ণরূপে সুরক্ষিত করবে। এটি কী সুরক্ষিত হওয়া উচিত তা নির্ধারণ করার মতো সমস্যাগুলিকে প্রতিরোধ করবে কারণ সবকিছুই হবে এবং এটি ব্যবহারকারীর জন্য সত্যিই অসুখ নয়।

যদি আমি ইতিমধ্যে সাইটের অংশে একটি HTTPS ব্যবহার করে থাকি তবে কেন আমি সমগ্র সাইটের জন্য এটি ব্যবহার করতে চাই না?

এটি একটি সম্পর্কিত প্রশ্ন: কেন https শুধুমাত্র লগইন করার জন্য ব্যবহার করা হয়? , কিন্তু উত্তর সন্তোষজনক হয় না। উত্তরগুলি অনুমান করে যে আপনি সম্পূর্ণ সাইটে https প্রয়োগ করতে সক্ষম নন।


SSL / TLS প্রায় প্রায়শই যথেষ্ট ব্যবহৃত হয় না। সম্পূর্ণ সেশনের জন্য HTTPS ব্যবহার করা উচিত, কোনও সময়ে সেশন আইডি HTTP এর উপর পাঠানো যাবে না। যদি আপনি শুধুমাত্র লগ ইন করার জন্য https ব্যবহার করছেন তবে ২010 এর "A3: ভাঙা প্রমাণীকরণ এবং সেশন ম্যানেজমেন্ট" -এর জন্য OWASP শীর্ষ 10 এর পরিষ্কার লঙ্ঘন।


https সার্ভারের এনক্রিপ্ট এবং ক্লায়েন্ট অনুরোধ এবং প্রতিক্রিয়া ডিক্রিপ্ট করার প্রয়োজন। সার্ভার ক্লায়েন্ট প্রচুর পরিবেশন করা হয় তাহলে কর্মক্ষমতা প্রভাব যোগ করা হবে। এজন্য https এর সর্বাধিক বাস্তবায়ন শুধুমাত্র পাসওয়ার্ড প্রমাণীকরণে সীমিত। কিন্তু ক্রমবর্ধমান কম্পিউটিংয়ের ক্ষমতাটি পরিবর্তিত হতে পারে, সমস্ত জিমেইল সম্পূর্ণ সাইটটির জন্য SSL ব্যবহার করে।


অন্যান্য কারণে (বিশেষত পারফরম্যান্স সম্পর্কিত) ছাড়াও আপনি কেবল HTTPS ব্যবহার করার সময় * প্রতি আইপি ঠিকানা প্রতি একক ডোমেন হোস্ট করতে পারেন।

একটি একক সার্ভার HTTP তে একাধিক ডোমেইন সমর্থন করতে পারে কারণ সার্ভার HTTP হেডার সার্ভারটিকে কোন ডোমেনের সাথে প্রতিক্রিয়া জানাতে দেয়।

HTTPS এর সাথে, সার্ভারটি প্রাথমিক TLS হ্যান্ডশেক (যা HTTP শুরু হওয়ার আগে) এর সময় ক্লায়েন্টকে তার শংসাপত্রটি অফার করতে হবে। এর মানে হল যে সার্ভারের শিরোনাম এখনো পাঠানো হয়নি তাই সার্ভারের কোন ডোমেনটি অনুরোধ করা হচ্ছে এবং কোন শংসাপত্রটি (www.foo.com, অথবা www.bar.com) এর সাথে সাড়া দেওয়ার কোন উপায় নেই।

* পাদটীকা: প্রযুক্তিগতভাবে, আপনি বিভিন্ন পোর্টে হোস্ট করলে আপনি একাধিক ডোমেইন হোস্ট করতে পারেন তবে এটি সাধারণত বিকল্প নয়। আপনার SSL শংসাপত্রের একটি বন্য-কার্ড থাকলেও আপনি একাধিক ডোমেন হোস্ট করতে পারেন। উদাহরণস্বরূপ, আপনি উভয় foo.example.com এবং bar.example.com উভয়ের হোস্টিং * .example.com এর সাথে হোস্ট করতে পারেন


আইআইএস 8.0 এর সাথে উইন্ডোজ সার্ভার ২01২ এখন এসএনআই অফার করে যা সার্ভার নাম ইঙ্গিত দেয় যা আইআইএসের একাধিক এসএসএল ওয়েব অ্যাপ্লিকেশনকে এক আইপি ঠিকানায় হোস্ট করার অনুমতি দেয়।


আপনি সর্বত্র HTTPS ব্যবহার করা উচিত, কিন্তু আপনি নিম্নলিখিত হারাবেন:

  1. ব্রেচ এবং ক্রাইম আক্রমণের কারণে আপনি অবশ্যই SSL- এ SSL সংকোচন বা HTTP কম্প্রেশন ব্যবহার করবেন না। তাই আপনার প্রতিক্রিয়া যদি সেশন বা csrf সনাক্তকারী থাকে তাহলে কোন কম্প্রেশন। আপনি কুকি-কম ডোমেনে আপনার স্ট্যাটিক সংস্থানগুলি (চিত্র, জেএস, CSS) রেখে এটিকে কমিয়ে আনতে পারেন এবং সেখানে কম্প্রেশন ব্যবহার করতে পারেন। আপনি এইচটিএমএল পরিমার্জন ব্যবহার করতে পারেন।

  2. এসএসএল শংসাপত্র, এক আইপি ঠিকানা, এসএনআই ব্যবহার না করে, যা সমস্ত ব্রাউজারে কাজ করে না (পুরানো অ্যান্ড্রয়েড, ব্ল্যাকবেরী 6, ইত্যাদি)।

  3. আপনার পৃষ্ঠায় যে কোনও বাহ্যিক সামগ্রী হোস্ট করা উচিত নয় যা SSL এ আসে না।

  4. ব্রাউজার যখন HTTP পৃষ্ঠাতে যায় তখন আপনি আউটবাউন্ড HTTP রেফারার হেডারটি হারাবেন, যা আপনার জন্য কোনও সমস্যা হতে পারে বা নাও হতে পারে।


আমাকে বলা হয়েছিল যে আমাদের কোম্পানির এক প্রকল্পে, তারা দেখেছে যে SSL বার্তাগুলির দ্বারা নেওয়া ব্যান্ডউইথটি সাধারণ বার্তাগুলির চেয়ে উল্লেখযোগ্য ছিল। আমি বিশ্বাস করি যে কেউ আমাকে বলেছিল যে এটি 1২ গুণ বেশি তথ্য বিস্ময়কর ছিল। আমি নিজে নিজে যাচাই করিনি এবং এটি খুব বেশি শোনাচ্ছে, তবে প্রতিটি পৃষ্ঠায় কিছু শিরোনাম যোগ করা হয়েছে এবং বেশিরভাগ পৃষ্ঠাগুলিতে সামান্য পরিমাণে সামগ্রী রয়েছে, যা এখনও পর্যন্ত নাও হতে পারে।

যে বলেন, http এবং https মধ্যে পিছনে যাচ্ছে এবং কোন পৃষ্ঠাগুলি ট্র্যাক রাখা যা আমার জন্য অনেক প্রচেষ্টার মত মনে হচ্ছে। আমি একবার তাদের মিশ্রিত একটি সাইট তৈরি করার চেষ্টা করেছি এবং আমরা যখন জাভাস্ক্রিপ্ট দ্বারা তৈরি করা পপ-আপ উইন্ডোগুলির মতো জটিল জিনিসগুলির দ্বারা তাদের দ্বারা সংযুক্ত ভুল প্রোটোকল পেয়ে যাচ্ছিল তখনই আমরা পরিকল্পনাটি ত্যাগ করেছিলাম। আমরা শুধু কম সাইট হিসাবে HTTPS তৈরীর কম সমস্যা। আমি সাধারণ ক্ষেত্রে অনুমান করি যেখানে আপনার কাছে কেবল একটি লগইন স্ক্রীন এবং একটি পেমেন্ট স্ক্রীন রয়েছে যা সুরক্ষিত করতে হবে এবং তারা সহজ পৃষ্ঠাগুলি, এটি মেশানো-এবং-মিলের জন্য বড় চুক্তি হবে না।

আমি ক্লায়েন্ট উপর ডিক্রিপ্ট বোঝা সম্পর্কে অনেক চিন্তা হবে না। সাধারনত ক্লায়েন্টটি তার প্রক্রিয়া করার জন্য তার চেয়েও বেশি পরিমাণে তারের অপেক্ষা করতে অপেক্ষা করছে। ব্যবহারকারীরা নিয়মিত জিগাবিট / সেকেন্ড ইন্টারনেট সংযোগ না থাকলে, ক্লায়েন্ট প্রসেসিং পাওয়ার সম্ভবত বেশ অপ্রাসঙ্গিক। পৃষ্ঠাগুলি এনক্রিপ্ট করার জন্য সার্ভারের দ্বারা CPU শক্তিটি পুনরুদ্ধার করা একটি ভিন্ন সমস্যা। শত শত বা হাজার হাজার ব্যবহারকারীর সাথে এটি রাখতে সক্ষম না হয়েও এটির সমস্যা হতে পারে।


আরেকটি ছোট বিন্দু (সম্ভবত কেউ যাচাই করতে পারে), যদি কোনও ব্যবহারকারী একটি ফর্ম আইটেমের মতো কোনও ফর্ম আইটেমের মধ্যে তথ্য টাইপ করে এবং তারপরে কোনও কারণে কোনও পৃষ্ঠাটি পৃষ্ঠা বা সার্ভারটি সেকেন্ডের জন্য ক্র্যাশ করে তবে ব্যবহারকারীর ডেটা ব্যবহার করে হারিয়ে গেছে HTTPS কিন্তু HTTP ব্যবহার করে সংরক্ষিত হয়।

দ্রষ্টব্য: আমি নিশ্চিত নই যে এটি ব্রাউজার নির্দিষ্ট কিনা তবে এটি অবশ্যই আমার ফায়ারফক্স ব্রাউজারের সাথে ঘটে।


উচ্চ বিলম্বিত লিংকগুলির জন্য প্রাথমিক টিএলএস হ্যান্ডশেকের জন্য সার্টিফিকেট চেন (কোন মধ্যবর্তী সার্টিফিকেট পাঠানোর সহ) যাচাই করতে অতিরিক্ত রাউন্ড ট্রিপের প্রয়োজন হয়, সাইফার স্যুটগুলিতে সম্মত হন এবং একটি অধিবেশন স্থাপন করেন। একবার একটি অধিবেশন স্থাপন করার পর পরবর্তী অনুরোধগুলি বৃত্তাকার ভ্রমণের সংখ্যা হ্রাস করার জন্য সেশন ক্যাশিং ব্যবহার করতে পারে তবে এই সেরা ক্ষেত্রেও স্বাভাবিক HTTP সংযোগের চেয়ে আরও বেশি রাউন্ড ট্রিপ রয়েছে। এনক্রিপশন অপারেশন বিনামূল্যে রাউন্ড ট্রিপ ছিল এমনকি যদি এবং ধীর নেটওয়ার্ক লিঙ্ক উপর বেশ উল্লেখযোগ্য হতে পারে, বিশেষ করে যদি সাইট HTTP পাইপলাইন লিভারেজ না। নেটওয়ার্কের একটি ভাল সংযুক্ত সেগমেন্টের মধ্যে ব্রডব্যান্ড ব্যবহারকারীদের জন্য এটি একটি সমস্যা নয়। যদি আপনি আন্তর্জাতিকভাবে HTTPS requring ব্যবসা করতে পারেন সহজে নোটযোগ্য বিলম্বের কারণ হতে পারে।

অতিরিক্ত বিবেচনার মতো যেমন সার্ভার রক্ষণাবেক্ষণের সেশন স্টেটমেন্টের সম্ভাব্য উল্লেখযোগ্যভাবে আরও মেমরি এবং অবশ্যই ডেটা এনক্রিপশন ক্রিয়াকলাপ প্রয়োজন। কোন ছোট সাইট কার্যকরীভাবে আজকের হার্ডওয়্যার খরচ বনাম সার্ভারের ক্ষমতা সম্পর্কে চিন্তা করতে হবে না। যেকোনো বড় সাইট সহজেই CPU / W AES offload বা অ্যাড-অন কার্ডগুলিকে একই কার্যকারিতা সরবরাহ করতে সক্ষম করবে।

সময়গুলি মঞ্চে এবং হার্ডওয়্যারগুলির ক্ষমতা এবং নেটওয়ার্কের উন্নতি হিসাবে এই সমস্ত বিষয়গুলি একটি অ-ইস্যুগুলির আরো বেশি হয়ে উঠছে। বেশিরভাগ ক্ষেত্রেই সন্দেহ নেই যে আজকের কোন টেকসই পার্থক্য আছে।

কার্যকরী বিবেচনার মতো হতে পারে যেমন https ট্র্যাফিকের প্রশাসনিক সীমাবদ্ধতা (অন্তর্বর্তী বিষয়বস্তু ফিল্টারগুলি মনে মনে .. ইত্যাদি) সম্ভবত কিছু কর্পোরেট বা সরকারী নিয়ম। কিছু কর্পোরেট পরিবেশের তথ্য ফুটো প্রতিরোধে পেরিমেটারে ডেটা ডিক্রিপশন প্রয়োজন ... হটস্পট এবং অনুরূপ ওয়েব ভিত্তিক অ্যাক্সেস সিস্টেমগুলির মধ্যে হস্তক্ষেপ যা https লেনদেনের বার্তাগুলিকে ইনজেকশন করতে সক্ষম নয়। আমার ভিউতে দিনের শেষে ডিফল্টভাবে https চালু না করার কারণে বেশ ছোট হতে পারে।


যদি পুরো অধিবেশন এনক্রিপ্ট করা হয় তবে আপনি স্টিকিক্যাল সংস্থার জন্য ক্যাশিং ব্যবহার করতে পারবেন না যেমন ইমেজ এবং জেএস প্রক্সি স্তর যেমন আইএসপি।


সিস্টেম লোডের বাইরে, সবচেয়ে বড় কারণ, এটি নাম-ভিত্তিক ভার্চুয়াল হোস্টিংটি ভাঙ্গায়। SSL দিয়ে, এটি একটি সাইট - এক আইপি ঠিকানা। এটি বেশ ব্যয়বহুল, পাশাপাশি কঠোর প্রশাসক।


HTTPS HTTP যে SSL দিয়ে সুরক্ষিত। আপনার সাইটটি বজায় রাখতে এবং বিশ্বাস করতে আপনাকে একটি প্রদত্ত শংসাপত্র নিবন্ধন করতে হতে পারে।

আপনার সাইটের ব্যবহারকারীর সাথে তথ্য বিনিময় করার প্রয়োজন হলে HTTPS প্রয়োজন এবং আপনি এনক্রিপশন দ্বারা সুরক্ষিত তথ্য রাখতে চান।

যদি না হয় তবে HTTPS প্রয়োজন নেই কিন্তু আপনি যদি চান তবে এখনও এটি ব্যবহার করতে পারেন।







https