http를 통해 보안을 구현하는 가장 좋은 방법은 무엇입니까

Question

SSL을 사용하면이를 수행하는 방법 중 하나라는 것을 알고 있습니다. Facebook과 LinkedIn과 같은 웹 사이트로 이동하여 비밀번호와 개인 설정과 같은 중요한 데이터를 처리 할 때 https 만 사용한다는 것을 확인합니다. 어떻게 이뤄지나요? 일부 웹 사이트에서 https를 구현하는 동안 다른 사람에게 http를 사용하면서도 안전하게 유지하면서 어떻게 할 수 있습니까?

Answer 1

HTTP 사이트는 안전하지 않습니다. 일반적으로 HTTPS의 오버 헤드는 소셜 네트워킹 로그인과 같은 것을 처리 할 때 불필요한 것으로 간주됩니다. 예를 들어 StackOverflow는 안전하지 않습니다. 네트워크 스니퍼가있는 누군가가 로그인 쿠키를 가로 채고 사용자를 가장 할 수 있습니다.

로그인이 유효한지 확인하고 유용성에 신경 쓰지 않으면 digest authentication을 사용할 수 있습니다. HTTP를 통해 사용자 이름과 암호를 전송하는 안전하고 안전한 방법을 제공합니다. 물론 사이트에서 보내지거나 사용자가 제출 한 데이터는 스니핑에 취약합니다.

짧은 버전 : 보안이 필요한 경우 HTTPS를 사용하십시오. CAcert과 같은 사이트에서 무료 인증서를 얻을 수도 있습니다.

Answer 2

이 방법은 안전하지 않습니다. HTTPS를 사용할 때는 안전하지만 HTTP로 전환하면 모든 데이터가 암호화되지 않은 행을 통해 전송됩니다. 세션 ID 쿠키 (또는 상태 및 사용자 ID가 유지 관리 됨). 따라서 암호화되지 않은 회선에 대한 정보를 훔치고 당신을 사칭하려는 격차가 여전히 존재합니다.

그러나이 2 차선 접근법은 일반적입니다. HTTPS에는 몇 가지 단점이 있기 때문입니다. 하나는 값 비싼 (들어오는 데이터를 암호화하고 나가는 것을 암호화하는) 것이고 다른 하나는 공개 캐싱을 사용할 수 없게하는 것입니다.

Answer 3

https를 사용하지 않는 경우 보호하려는 대상과 사용자에게 필요한 번거 로움에 따라 다릅니다.

민감한 정보 만 보호하도록 자바 스크립트에서 데이터를 선택적으로 암호화 할 수 있지만 자바 스크립트에서 수행 된 작업은 리버스 엔지니어링 될 수 있으므로 위험합니다.

당신은 자바 스크립트에서 할 수있는 한 가지 방법 여기 내 대답 볼 수 있습니다 : How Do I encrypt post data while using ajax and JQuery?

것은 그냥 데이터가 수정하지 않으려면 당신이 해시를 만들 수, 또는 변환 할 수 있습니다 전송되는 동안 데이터를 해시로 저장 한 경우 해시로 보내야합니다. 비밀번호는 해시로 저장되기 때문에 이해가됩니다.

이 모든 것을 자바 스크립트에서 수행 할 수 있지만 데이터 전송 속도가 느려집니다.

또한 http를 통과하는 webservices를 사용하는 경우 이러한 옵션도 작동하지만 프로그램이 javascript가 아닌 경우 더 빠를 수 있습니다.

Answer 4

HTTP/HTTPS뿐만 아니라 보안에 더 많은 것이 있습니다. 이것들은 전선상에서 데이터가 읽히지 않도록하기위한 것입니다.

HTTP 사이트에서 HTTPS 요청을 수행하는 가장 쉬운 방법은 누가 행동이 https://yoursite/login 또는 그와 유사한 형식을 사용하는 것입니다. 이렇게하면 해당 페이지로 이동하게되며, 종종이 페이지는 귀하가 어디서 왔는지, 또는 귀하를 홈페이지로 이동하게됩니다. 이것이 바로 Facebook이하는 일입니다. 사이트의 나머지 부분은 액세스 제어 때문에 상대적으로 안전한 것으로 간주됩니다. 액세스 제어는 무언가를 볼 권한이있는 사람들 만이 그렇게 할 수있는 사람인지 확인하는 것입니다. 이것은 Wireshark 또는 트래픽을 방해하는 다른 도구를 보호하지 않습니다.아약스를 통해 게시물을 작성하는 것은 나쁜 생각입니다. 왜냐하면 크로스 사이트 스크립팅을 사용하여 아약스 호출을 사용하기가 너무 쉽기 때문입니다.