web-dev-qa-db-fra.com

Pourquoi certains sites Web appliquent-ils le manque de SSL?

En essayant de visiter https://www.ebay.com , j'ai remarqué que je suis immédiatement redirigé vers HTTP. Voici ce qu'en dit cURL:

$ curl --max-redirs 0 -v -L https://www.ebay.com
* Rebuilt URL to: https://www.ebay.com/
* Adding handle: conn: 0x6c8cc0
* Adding handle: send: 0
* Adding handle: recv: 0
* Curl_addHandleToPipeline: length: 1
* - Conn 0 (0x6c8cc0) send_pipe: 1, recv_pipe: 0
* About to connect() to www.ebay.com port 443 (#0)
*   Trying 66.135.210.61...
* Connected to www.ebay.com (66.135.210.61) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* SSL connection using SSL_RSA_WITH_RC4_128_MD5
* Server certificate:
*       subject: CN=www.ebay.com,OU=Site Operations,O=eBay Inc.,L=San Jose,ST=California,C=US
*       start date: Jun 06 00:00:00 2013 GMT
*       expire date: Jun 07 23:59:59 2014 GMT
*       common name: www.ebay.com
*       issuer: CN=VeriSign Class 3 Secure Server CA - G3,OU=Terms of use at https://www.verisign.com/rpa (c)10,OU=VeriSign Trust Network,O="VeriSign, Inc.",C=US
> GET / HTTP/1.1
> User-Agent: curl/7.32.0
> Host: www.ebay.com
> Accept: */*
> 
< HTTP/1.1 301 Moved Permanently
< Location: http://www.ebay.com/
* no chunk, no close, no size. Assume close to signal end
< 
* Closing connection 0
* Maximum (0) redirects followed
curl: (47) Maximum (0) redirects followed

Pourquoi les sites Web forceraient-ils le HTTP en texte brut alors que leur support SSL, exposant ainsi les habitudes de navigation de l'utilisateur à l'écoute?

tlshttp
41
d33tah

Il y a quelques raisons (pas nécessairement bonnes raisons, mais néanmoins des raisons) de préférer HTTP à HTTPS. Si ces raisons s'appliquent, il est logique d'appliquer l'application HTTP même lorsque le client semble vouloir utiliser HTTPS.

Une (généralement) mauvaise raison pour préférer HTTP est celle qui est couramment énoncée dans un tel débat: SSL est souvent supposé être lourd, à la fois pour le coût de calcul du chiffrement et en raison de ses conséquences sur la mise en cache (bien qu'il soit possible de mettre en cache pages servies via HTTPS, la couche SSL empêche certaines astuces telles que proxies transparents , qui sont couramment appliquées par les FAI). Le coût de calcul est surévalué (c'était un goulot d'étranglement à l'époque des machines 3DES et Pentium 90 MHz avec Ethernet rapide, mais les choses ont changé depuis). Quant à la mise en cache, un point à souligner est qu'elle est de moins en moins pertinente lorsque les pages deviennent plus dynamiques.

Nous pouvons imaginer, cependant, qu'Ebay souhaite encourager un mandataire généralisé basé sur les FAI pour toutes les photos d'objets qu'ils servent. Je peux facilement concevoir que ces images consomment une partie substantielle de la bande passante réseau d'Ebay. L'application de HTTP simple maximise la probabilité de mise en cache, économisant ainsi de l'argent du côté d'Ebay.

Une raison moins mauvaise de préférer HTTP est de permettre une analyse automatique plus facile des données pour détecter le contenu indésirable et la détection d'intrusion. SSL est de bout en bout, donc si une telle analyse est appliquée dans un monde HTTPS, elle doit se produire à l'une des extrémités, ce qui peut être gênant dans une grande architecture donnée.

Quant à la confidentialité de vos habitudes de navigation, je ne pense pas qu'Ebay en donne une idée. En fait, ils sont, par construction, très désireux d'apprendre, d'analyser, de profiler et éventuellement de vendre vos habitudes de navigation (les annonceurs paient pour ces informations). Il ne semble donc pas raisonnable de s'attendre à ce qu'Ebay protège activement votre vie privée, car une partie de leur modèle commercial est exactement le contraire.

40
Thomas Pornin

Parlant d'une expérience personnelle: j'ai géré un site Web qui voulait envoyer toutes les données du formulaire via une connexion https sécurisée. Cependant, pour diverses raisons, d'autres pages affichaient du contenu non sécurisé que nous n'avons pas réussi à utiliser via https.

Cela conduit à de grands signes d'avertissement dans Firefox et Chrome (CE SITE CONTIENT DES ÉLÉMENTS NON SÉCURISÉS avec des points d'exclamation criant dans la barre d'adresse et autres)) qui pour les non-initiés semblait effrayant même si rien de suspect n'était événement.

Pour éviter d'envoyer le mauvais message, nous avons simplement redirigé le trafic sur http pour les pages qui n'ont envoyé aucune donnée client.

Ebay semble faire la même chose: lorsque des données sont réellement entrées dans un formulaire et transmises, c'est toujours https.

Pour être honnête: dans notre cas, nous manquions de budget pour parcourir toutes les pages et corriger les éléments non sécurisés qui auraient vraiment dû être la voie à suivre.

La seule autre raison à laquelle je peux penser serait la performance: SSL à proprement parler est plus lent.

En bref: je peux imaginer des raisons de rediriger le trafic sur http, mais dans mon cas, ce n'était certainement pas la meilleure pratique.

22
user3244085

Il est difficile de donner une bonne réponse , car il n'y a sans doute pas bonne raison de le faire.

Si je devais énumérer les avantages et les inconvénients, je dirais ceci:

Si un site ne veut pas que les utilisateurs qui essaient de visiter le site via https pensent qu'il est en panne et prend en charge SSL pour certaines fonctionnalités, telles que la connexion, mais pense qu'il n'a pas ou ne veut pas prendre en charge l'infrastructure permettant à tous que le contenu passe via SSL, il peut essayer de le faire.

Pendant longtemps, c'était un mythe communément admis que SSL nécessitait beaucoup plus de matériel que HTTP standard. Une ancienne décision ne peut pas être réexaminée.

Les sites largement mis en cache auront moins de charge si la mise en cache des proxys peut supporter une partie de la charge, ce qui est impossible lorsque SSL est actif.

Les outils de conservation de la bande passante comme la compression optionnelle dans Opera et Chrome ne fonctionnent pas avec le contenu servi via SSL.

14
Matthew Elvey

Très probablement pour conserver l'utilité de la mise en cache et réduire la charge impliquée dans les énormes quantités d'exploration d'araignées nécessaires pour maintenir à jour les recherches externes.

La mauvaise partie n'est pas tant qu'un tiers peut voir la page que vous avez consultée (le réseau d'utilitaires d'analyse installés partout et qui fait rapport à Google garantit déjà que vous êtes suivi presque partout), mais cela rebondit entre HTTP et HTTPS fournit plusieurs points pour détourner d'un site HTTP non authentifié vers un faux site HTTPS avec un faux certificat. Le risque n'est pas le suivi, et ce n'est pas vraiment l'exposition du contenu sur les pages HTTP, c'est que ce type de va-et-vient affaiblit le sentiment de sensibilisation des utilisateurs aux menaces.

Il est beaucoup plus difficile pour l'utilisateur moyen de comprendre qu'il y a une ouverture effrayante à chaque fois que HTTPS-> HTTP-> HTTPS se produit, d'autant plus que cela se produit pour la plupart des gens après s'être connecté et s'authentifier auprès du serveur.

"Oh, regardez, un avertissement de certificat vient d'apparaître. Bizarre. Mais j'ai été signé pendant tout ce temps (appuie immédiatement sur le bouton 'ignorer/ajouter définitivement une exception')"

Une meilleure solution serait de rendre toutes les parties publiques (visibles pour les utilisateurs anonymes) du site via HTTP et HTTPS pour garder les moteurs de recherche heureux et les araignées explorant les pages à faible charge, mais ne redirigeant jamais personne une fois qu'ils sont passés à HTTPS. S'ils se préoccupaient vraiment de la sécurité, cependant, ils ne redirigeraient jamais automatiquement de HTTP vers HTTPS - ce type de redirection automatique est l'occasion de mettre en place une attaque MITM à chaque fois, et même les banques le font.

1
zxq9

Du point de vue de l'expérience utilisateur, si un utilisateur voit SSL et visualise la sécurité, il a tendance à devenir inutilement prudent.

Par exemple, si vous avez un site Web avec une image d'un verrou sur la page d'accueil qui dit "Nous sommes en sécurité", les taux de conversion drop. Garder ce mécanisme caché à l'utilisateur n'est pas toujours une mauvaise idée, et si l'échange de mots de passe et l'authentification sont correctement mis en œuvre, ce n'est vraiment pas un problème de sécurité.

Nous pouvons également imaginer comment un pirate pourrait prendre plus de temps pour pirater eBay si eBay obscurcit ses protocoles de sécurité, car ils semblent faibles alors qu'en réalité, ils doivent avoir des lignes de sécurité assez formidables.

Semble faible quand tu es fort, et fort quand tu es faible

- Sun Tzu, L'art de la guerre

1
OneChillDude