Utilisation de HTTPS sur l'ensemble des sites 2011 et au-delà
Je sais que cela a déjà été demandé, mais je suis curieux de savoir ce que tous en pensent, avec l'avènement de programmes tels que firesheep, sorti il y a seulement 6 mois. Est-ce une bonne idée d'utiliser https sur un site entier? Je suis conscient que c'est problèmes de vitesse, fenêtres d'avertissement du navigateur, etc., mais à quel point cela peut-il être grave et sérieux si vous ne l'avez pas pour chaque page? Un ami m'a dit qu'il était inutile si même ne une partie du site où un utilisateur est connecté n'est pas https, car les gens peuvent intercepter les cookies et donc se faire passer pour vous et utiliser votre compte comme ils s'il vous plaît, y compris l'accès aux parties https.
Pensez-vous que c’est là que se dirige l’avenir d’Internet et est-il sage de le mettre en œuvre maintenant?
Le site contient des pages de connexion, de type carte de crédit/commerce électronique ainsi que d’autres pages ne contenant que des messages normaux de type entrée de blog. Est-il toujours assez correct d'utiliser simplement https dans la partie connexion et paiements du site, ou cela compromettra-t-il réellement la sécurité?
Quelle est la raison pour laquelle des sites comme eBay et Amazon ont choisi jusqu'à présent de ne le faire que sur certaines parties du site? Est-ce que cela signifie qu'ils sont maintenant facilement piratables?
Combien de temps l'utilisation de https sera-t-elle plus lente? Existe-t-il d'autres inconvénients que ceux mentionnés ci-dessus?
Les problèmes liés aux fenêtres contextuelles du navigateur peuvent-ils être résolus?
Votre ami a raison. Les cookies sont envoyés avec chaque demande, même pour des éléments tels que des images. Vous devez donc vous assurer que tout est envoyé de manière sécurisée si les cookies sont sensibles.
Les avertissements du navigateur ne se produisent qu'en cas de problème avec le certificat du serveur. Les problèmes les plus courants sont un certificat arrivé à expiration, un certificat mal configuré (c’est-à-dire essayer d’utiliser le même certificat sans caractère générique pour plusieurs domaines) ou un certificat qui n’a pas été émis par une autorité de certification de confiance (Comodo, Thawte, Geotrust, etc.). etc).
Lorsque HTTPS est utilisé, il y a une surcharge. Une "poignée de main" se produit au début d'une connexion en une fraction de seconde et la charge du processeur est légèrement supérieure. Auparavant, cela posait un problème lorsque les gens étaient connectés et que les processeurs étaient lents. Or, ce n’est pas un facteur déterminant et vous ne devriez pas voir plus de quelques pour cent d’augmentation de la charge du processeur. Le temps processeur est bon marché maintenant. Ces problèmes de performances sont négligeables.
Je ne sais pas si Internet est entièrement crypté. Peut-être. Vous ne devez fournir un cryptage que lorsque les informations personnelles, y compris les cookies, enregistrent automatiquement un utilisateur (ce sont l'équivalent d'un nom d'utilisateur/mot de passe, bien qu'un peu plus éphémère). Si les cookies ne sont pas sensibles et qu'aucune information confidentielle n'est transmise par Internet, le cryptage n'est pas obligatoire.
Je doute qu'eBay, Amazon et autres soient vulnérables au détournement de session. Vous noterez également que ces sites empêcheront les utilisateurs de faire des choses spéciales comme la mise à jour de leurs mots de passe, les paiements, etc. sans que l'utilisateur ne leur donne à nouveau un mot de passe. Le détournement de session n'est un problème que si un utilisateur malveillant peut faire quelque chose de mal, sinon un cookie de session ne vaut rien.
SSL devrait être utilisé pour tout ce qui est sensible. Si c'est sensible, cryptez. Si ce n'est pas le cas, le texte en clair est correct. Le cryptage n'est pas une panacée, mais un élément de votre stratégie de sécurité.
Garder le cookie de session sécurisé est certainement l’un des plus gros problèmes, si un site bascule entre pages sécurisées et non sécurisées. Mais ce n’est qu’un problème, car la plupart des sites combinent gestion de session et authentification. Si vous utilisez le cookie de session exclusivement pour maintenir la session, vous pouvez éviter ce risque de sécurité:
Basculement entre pages http et https
Bien que cela résolve le problème du cookie de session, la question demeure de savoir si la complexité supplémentaire mérite d’économiser l’énergie du processeur pour un site HTTPS complet. Malheureusement, il est difficile d’obtenir des rapports de terrain utiles ou des points de repère de scénarios réels. Les grandes entreprises telles que Google optaient pour le cryptage intégral, mais il semblerait qu'elles aient déjà fait de nombreuses optimisations auparavant:
Mon opinion personnelle est que, pour les sites dont le trafic est faible à modéré, vous devriez éviter la complexité et utiliser HTTPS pour toutes les pages. Si vous avez (ou prévoyez) beaucoup de trafic, vous pouvez envisager de basculer entre HTTP et HTTPS.