ssl - 使用还是不使用 SSL?为什么总是使用 SSL?

标签 ssl https security

关闭。这个问题是opinion-based .它目前不接受答案。












想改进这个问题?更新问题,以便 editing this post 可以用事实和引用来回答它.


去年关闭。







Improve this question




使用 SSL 的理由是为了防止一些经历过窥探您的流量痛苦的恶意用户能够读取您的流量。因此,如果您在登录银行帐户或提供信用卡号时使用不安全的无线(非 WPA2)网络使用 SSL 可能是有意义的,但我发现在更常见的商业案例中很难看到它的必要性。

为什么还要打扰 SSL? (当您的客户端不会在不安全的无线网络上时)

有人可以窥探您的特定 HTTP 连接和其中的数据的唯一方法是,如果他们对您的路由器具有管理员访问权限(然后只有在有一些工具可以监控/复制流量的情况下),在您的机器上安装了一些工具(当然是键盘记录器)无论如何都会通过 SSL)或他们在 ISP 处监视您(在大多数司法管辖区都需要手令)。

更新警告 某些司法管辖区并不像您想象的那么自由,尤其是第一和第二世界,例如在英国,政府可能很快就不需要搜查令了:http://en.wikipedia.org/wiki/Communications_Data_Bill_2008这可能需要能够阅读历史上的网站(即解密 SSL)和美国的“爱国者法案”http://en.wikipedia.org/wiki/US_Patriot_Act#Title_II:_Surveillance_procedures

此外:

  • 接受 SSL 连接服务器端会增加大量负载,因为建立连接是处理器密集型的(在生成 key 期间)。
  • 公开信任的 SSL 证书必须定期从第三方购买

    • 更新:我实际上正在使用 SSL,尽管我认为无论如何问这个问题是值得的。当然我认为有时间 SSL 是没有必要的。也许这可以变成一个关于 SSL 优缺点的社区 wiki?如果有怎么办?

    在下面的答案中似乎经常出现神话:“你和服务器之间的任何人都可以窃听你”......
  • 这在 Internet 上是不可能的,因为低级 TCP 路由器仅将数据包转发到它们必须去的地方,即使在同一个 session 中也可以通过不同的路由进行路由,除非在极端情况下,没有人可以查看这些数据包 - 技术上或合法地。

  • 至于 ISP 的某个人查看您的流量,我想知道他们为什么会向您发出信号并查看毫无疑问对他们来说很无聊的“如此重要的数据”,这在没有搜查令的情况下也是非法的。

  • 在您的 LAN(无线除外)上,除非您使用广播每个数据包的恐龙集线器,否则无法监听其他人的流量 - 这是不可能的,因为即使您有网卡,硬件也不会将数据包发送给您处于混杂模式并使用嗅探工具,例如 Snort 或 Wireshark。

    • 被动 ARP 中毒是监听的一种方式,但必须在内部完成,并且应该在名称冲突等开始发生时被拾取,并且默认网关通常是静态的,所以会很困难,因为默认网关将在你之前打开.

    最佳答案

    SSL 应该用在任何地方,只要你传达不应该公开的信息。认为没有人在监听您的计算机和远程服务器之间的流量是一个非常危险的假设。
    窥探流量所需要做的就是在您的网络上——他们不需要管理员访问您的路由器。在不使用 SSL 进行敏感通信的情况下,只需一台在同事计算机上感染病毒的计算机即可窃取您的身份。
    ISP 还可以访问所有网络流量——您对他们的技术人员有多信任?

    Dear User,

    We've decided against encrypting our internet traffic because we just don't think it's important. We decided that it's really too hard to monitor internet traffic, so if anyone really is prepared to go to that effort, well they deserve all the data they can get their hands on. If you're using an old style of router, have corrupt IT staff and/or co-workers, or someone just doesn't like you and decides to steal your data, we accept no liability.

    We advise against you telling anyone about our decision, as this will direct unwanted attention to our IP traffic.

    Kindest Regards,

    Good Enough Programming

    Disclaimer: If you are a hacker and stumbled across this message while monitoring IP traffic, we politely point out that what you are doing is illegal, and request that you pretend you never saw it.

    关于ssl - 使用还是不使用 SSL?为什么总是使用 SSL?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4495570/

    上一篇:SSL - 如何以及何时使用它

    下一篇:security - 数字证书在用于保护网站(使用 SSL)时如何工作?

    相关文章:

    javascript - 在 Firefox 和谷歌浏览器上复制到剪贴板

    oracle - ORA-28860 : Fatal SSL error when using UTL_HTTP?

    apache - 不要在 OpenShift 设备上强制使用 SSL?

    .htaccess - 在 https ://上时页面 404ing

    ssl - 如何在 plesk onyx 中禁用域的 ssl 支持?

    java - URL.getInputStream() 导致 java.security.cert.CertificateException : No subject alternative DNS name

    security - 为 Alertmanager 配置 HTTPS 和基本身份验证

    Android : Intercept network calls (HTTP, HTTPS 等..)源 self 的应用程序内的第 3 方库

    python - 如何创建可以解码 SSL 流量的代理?

    Tomcat 7 中的 SSL

    ©2024 IT工具网  联系我们