wake-up-neo.com

SSL verwenden oder nicht verwenden? Warum immer SSL verwenden?

Das Argument für die Verwendung von SSL besteht darin, zu verhindern, dass ein böswilliger Benutzer, der sich die Mühe gemacht hat, Ihren Datenverkehr zu durchsuchen, Ihren Datenverkehr lesen kann. Obwohl es möglicherweise sinnvoll ist, SSL über ein ungesichertes drahtloses Netzwerk (ohne WPA2) zu verwenden, wenn Sie sich auf Ihrem Bankkonto anmelden oder Ihre Kreditkartennummer angeben, finde ich es in häufigeren Geschäftsfällen schwierig, die Notwendigkeit zu erkennen.

Warum sollte man sich überhaupt mit SSL beschäftigen? (Wenn sich Ihr Client nicht in einem ungesicherten drahtlosen Netzwerk befindet)

Der einzige Weg, wie jemand Ihre speziellen HTTP-Verbindungen und Daten darin abhören kann, ist, wenn er Administratorzugriff auf Ihren Router hat (und dann nur, wenn es eine Möglichkeit gibt, den Datenverkehr zu überwachen/zu kopieren), ein Tool auf Ihrem Computer installiert zu haben (ein Key-Logger natürlich würde sowieso SSL umgehen) oder sie überwachen Sie beim Internetdienstanbieter (für den in den meisten Ländern ein Haftbefehl erforderlich ist).

Update Warning Einige Gerichtsbarkeiten sind nicht so frei, wie Sie vielleicht denken, insbesondere die 1. und 2. Welt, z. In Großbritannien kann es sein, dass die Regierung in Kürze keinen Haftbefehl mehr verlangt: http://en.wikipedia.org/wiki/Communications_Data_Bill_2008 was wahrscheinlich die Möglichkeit mit sich bringt, Websites so zu lesen, wie sie historisch waren (dh SSL entschlüsseln) und die US-amerikanischen "Patriot Act" http://en.wikipedia.org/wiki/US_Patriot_Act#Title_II:_Surveillance_procedures

Außerdem:

  • Das Akzeptieren von SSL-Verbindungen auf der Serverseite erhöht die Belastung erheblich, da der Verbindungsaufbau prozessorintensiv ist (während der Generierung von geheimen Schlüsseln).
  • Öffentlich vertrauenswürdige SSL-Zertifikate müssen regelmäßig von einem Drittanbieter erworben werden

UPDATE: Ich verwende eigentlich SSL, obwohl ich es für sinnvoll hielt, die Frage trotzdem zu stellen. Natürlich denke ich, dass es Zeit gibt, SSL ist nicht erforderlich. Vielleicht könnte dies zu einem Community-Wiki mit den Vor- und Nachteilen von SSL werden? Wenn das so ist, wie?

In den folgenden Antworten scheint es einen weit verbreiteten Mythos zu geben: "Jeder zwischen Ihnen und dem Server kann Sie belauschen" ...

  • Dies ist im Internet nicht möglich, da die TCP Router auf niedriger Ebene nur Pakete weiterleiten, an die sie gehen müssen, und sogar in derselben Sitzung über verschiedene Routen weitergeleitet werden können, und niemand kann diese Pakete außer anzeigen im Extremfall - technisch oder rechtmäßig.
  • Ich frage mich, warum jemand beim ISP, der Ihren Datenverkehr untersucht, Sie darauf hinweist und sich die so wichtigen Daten ansieht, die für ihn zweifellos langweilig sind. Dies ist auch ohne einen Haftbefehl illegal.
  • In Ihrem LAN (außer drahtlos) können Sie die Daten anderer nicht abhören, es sei denn, Sie verwenden einen Dinosaur Hub, der jedes Paket sendet. Dies ist nicht möglich, da die Hardware die Pakete einfach nicht an Sie sendet, selbst wenn Sie über Ihre Netzwerkkarte verfügen im Promiscuous-Modus und verwenden ein Sniffing-Tool wie Snort oder Wireshark.

Eine passive ARP-Vergiftung ist eine Möglichkeit zum Abhören, muss jedoch intern durchgeführt werden und sollte bei auftretenden Namenskonflikten usw. aufgegriffen werden. Oft ist das Standard-Gateway statisch, was sehr schwierig ist, da das Standard-Gateway vor Ihnen eingeschaltet wird .

20
anon

SSL sollte überall dort eingesetzt werden, wo Sie Informationen kommunizieren, die nicht öffentlich sein sollten. Es ist eine sehr gefährliche Annahme, zu glauben, dass niemand den Datenverkehr zwischen Ihrem Computer und dem Remote-Server überwacht.

Alles, was jemand tun muss, um den Datenverkehr zu überwachen, ist in Ihrem Netzwerk - er benötigt keinen Administratorzugriff auf Ihren Router. Ohne SSL für sensible Kommunikation zu verwenden, genügt ein einziger Computer mit einem Virus auf dem Computer eines Kollegen, um Ihre Identität zu stehlen.

Der ISP hat auch Zugriff auf den gesamten Netzwerkverkehr - wie sehr vertrauen Sie ihren Technikern?

Sehr geehrter Nutzer, 

Wir haben uns gegen die Verschlüsselung des Internetverkehrs durch Entschieden. , Weil wir es einfach nicht für Halten. Wir haben uns entschieden, dass Wirklich zu schwierig ist, um den Internetverkehr Zu überwachen. Wenn also wirklich jemand Bereit ist, sich dieser Anstrengung zu widmen, gut , Dann verdienen sie alle Daten Sie können ihre Hände bekommen. Wenn Sie einen alten Router-Stil verwenden, haben Sie korrupte IT-Mitarbeiter und/oder Mitarbeiter oder jemand Gefällt Ihnen einfach nicht und beschließt, Ihre Daten stehlen, wir übernehmen keine Haftung.

Wir raten davon ab, dass Sie jemandem von unserer Entscheidung erzählen, da dies unerwünschte Aufmerksamkeit auf unseren IP-Verkehr lenkt.

Herzliche Grüße,

Gute genug Programmierung

Haftungsausschluss: Wenn Sie ein Hacker sind und bei der Überwachung des IP-Datenverkehrs auf diese Nachricht gestoßen sind, weisen wir höflich darauf hin, dass das, was Sie tun, illegal ist, und bitten Sie, so zu tun, als hätten Sie ihn nie gesehen.

42
Greg Sansom

Das Problem ist, dass mit WPA2 beispielsweise nur die Verbindung zwischen Ihrem Computer und dem Router gesichert wird. Zwischen dem Router und dem Ziel befindet sich ein großes ungesichertes Netzwerk - das ist das Design des Internets. Sie wissen nicht, wer sich auf dem Weg befindet, und es könnte eine Anzahl böswilliger (oder einfach nur neugieriger) Zuhörer geben. Sie befinden sich möglicherweise nicht einmal in Ihrem Zuständigkeitsbereich, so dass das Abhören möglicherweise unmöglich ist.

SSL bietet Ihnen einen verschlüsselten Tunnel bis zum anderen Ende.

Wenn Sie von einem kleinen Unternehmens-LAN sprechen, in dem kein Datenverkehr das interne Netzwerk verlässt, sollten Sie sich unbedingt mit SSL beschäftigen, wenn Sie dies nicht möchten. Wenn jedoch sensible Daten über das Internet übertragen werden, möchten Sie wirklich SSL verwenden, um zu verhindern, dass jemand sie sieht. Es geht darum, wie wichtig die Informationen sind.

Dabei ist zu beachten, dass viele Websites Cookies verwenden, um Anmeldeinformationen zu speichern. Wenn diese Cookies klar über das Internet gehen, ist es ziemlich trivial, die Sitzung zu hijacken - denken Sie an FireSheep. Daher müssen Sie sehr vorsichtig sein, was Sie als "sensible" Informationen betrachten. Angesichts der Tatsache, dass viele Geschäftsanwendungen auf Remote-Server umziehen (ich denke, die Jungen nennen es "die Cloud"), ist dies kein unbedeutendes Problem.

Um es kurz zu machen: Verwenden Sie SSL, wenn Sie nicht möchten, dass andere Personen über ein Netzwerk gehen, das nicht vollständig unter Ihrer Kontrolle steht.

5
Cameron Skinner

SSL bietet Authentifizierung und Verschlüsselung.

Es ist ist etwas schwierig, eine unverschlüsselte Verbindung mit MITM herzustellen, aber nicht so schwer für das unverschlüsselte drahtlose Netzwerk, das Sie als Beispiel angegeben haben. Jedes Netzwerk, in dem Sie ARP-Spoofs durchführen können (viele verkabelte Netzwerke mit Switches), ermöglicht Ihnen auch MITM. Dabei vergessen Sie jedoch jeden Router. Erinnern Sie sich an ein paar Monate zuvor, als ein (hoffentlich) schlecht konfigurierter Router in China einen bedeutenden, wenn auch relativ kleinen Teil des Internetverkehrs routete? Sie hätten Ihren Klartext sehen können. Das können auch andere Kunden in einem Kabelnetzwerk und so weiter.

SSL bietet jedoch auch eine Authentifizierung. Wenn ich den privaten Schlüssel für ein gültiges SSL-Zertifikat von Ihnen erhalte, bin ich verdammt zuversichtlich, dass Sie der sind, von dem Sie sagen, dass Sie es sind - doppelt so, wenn es sich um eine kompetente Zertifizierungsstelle handelt.

Das größte Problem ist jedoch, dass Sie SSL scheinbar nicht richtig verstehen. Daher rate ich Ihnen davon ab, auf die eine oder andere Weise eine Entscheidung zu treffen - zumindest bis Sie mehr darüber lesen. SSL erfordert nicht, dass Sie bei jeder Anforderung einen neuen Schlüssel generieren, und würde in der Tat nicht funktionieren, wenn dies der Fall wäre. Darüber hinaus kann jeder neuere Computer Tausende von SSL-Anforderungen gleichzeitig verarbeiten - die Algorithmen sind sehr schnell. Darüber hinaus können Sie Verschlüsselungsbeschleuniger verwenden, die die Arbeit auf eine dedizierte Hardware auslagern.

Wenn Sie glauben, dass Sie möglicherweise SSL zum Sichern einiger Daten benötigen, und wenn Sie dies nicht tun, gibt es fast keinen Grund, dies zu vermeiden. Ja, es gibt einige Ausgaben, aber alle Daten mit Konsequenz sind die 300 USD/Jahr wert.

EDIT Ich habe Ihren Kommentar gelesen - dies ist eine Client-App? In Ihrem Fall besteht die Lösung wahrscheinlich darin, selbstsignierte Schlüssel zu verwenden, und Sie können den öffentlichen Schlüssel mit der App verteilen. Auf diese Weise können Sie verschlüsseln und überprüfen, ob Sie mit dem Gesprächspartner sprechen, der Sie sein sollten.

3
Robert

Ich glaube nicht, dass jede Website SSL benötigt, wenn Sie es dann verwenden, aber es gibt Fälle, in denen Sie Benutzer authentifizieren möchten, ohne SSL verwenden zu müssen.

Ich habe für diesen Zweck eine zufällige Hash-Authentifizierung für den einmaligen Gebrauch (javascript-> Perl) erstellt.

http://www.furiousgryphon.com/jauthenticatedemo.html

https://github.com/thomasoeser/jAuthenticate

1
Thomas Oeser

Das allgemeine Verständnis hat sich vielleicht in den letzten acht Jahren weiterentwickelt. Diese Seite bietet eine gute Antwort:

https://doesmysiteneedhttps.com/

Selbst wenn keine "sensiblen" Daten übertragen werden, verhindert SSL das Einfügen von Seiteninhalten.

0
Oliver Kohll