恐ろしいセキュリティのAPIは一般的な場所です。ケースインポイント - TechCrunchのthis storySSL:APIのパフォーマンスとセキュリティのバランスをとるにはどうすればよいですか?
それがSSLに来るときどのようにパフォーマンスとセキュリティのバランスをとるか、質問を頼みますか?明らかに、ユーザー名やパスワードなどの機密情報はSSL経由で送信する必要があります。おそらくAPIキーを使用する後続の呼び出しはどうでしょうか? IDの証明が必要なAPI呼び出しについては、どの時点で暗号化されていない接続を使用しても問題ありませんか?
問題は、アプリケーションのパフォーマンスを理解せずに、試してみて、メトリックせずにアプリケーションを最適化するだけで間違っているということです。これは、開発者がAPIを暗号化せずに放置するという決定に導くもので、10ミリ秒の性能をさらに向上させると考えているだけです。セキュリティの懸念とパフォーマンスとのバランスをとるための最良の方法は、まずセキュリティについて心配することです。実際の顧客からの負荷を(一部のアーキテクトはホワイトボードの棒グラフではなく)取り込み、パフォーマンスが疑わしいときはコードから実際のメトリックを取得します問題。私はそれがセキュリティ関連ではないという奇妙な気持ちを持っています。
あなたが混在したコンテンツを許可している場合、のman-in-the-middleは、ページ内に既に機密情報を盗むためにJSを注入する混合コンテンツを書き換えることができます。 無料の無線アクセスを提供するカフェなどでは、中間者の攻撃はそれほど難しいことではありません。
https://www.eff.org/pages/how-deploy-https-correctlyは良い説明を与える:
HTTPS経由でアプリケーションをホストする場合、何の混在したコンテンツは存在しないことができます。 つまり、ページ内のすべてのコンテンツは でHTTPS経由で取得する必要があります。 のメインページがHTTPSでフェッチされていますが、ページ内の 要素、スタイルシート、およびJavaScript のいくつかまたはすべてがHTTP経由でフェッチされている、部分的なHTTPSサポートのサイトを参照してください。
メインページのロードが アクティブおよびパッシブネットワーク攻撃から保護されているが、これは安全ではない、他の資源の どれもありません。 ページはHTTPを経由して、いくつかのJavaScriptやCSSコード をロードした場合、攻撃者は 偽、悪意のあるコードのファイルを提供することができ、それがロードされると、ページのDOM上 を取ります。 その後、ユーザーはセキュリティがないという状況に戻るでしょう。 この は、すべてのメインストリームブラウザが、 コンテンツを混在させるページについて ユーザーに警告する理由です。また、それは、HTTP経由で 画像を参照するために安全である:攻撃者 は、保存のメッセージをスワップされ、ウェブメールアプリで メッセージアイコンを削除したらどう?
あなたはHTTPS経由でアプリケーション全体 ドメインにサービスを提供しなければなりません。 HTTP 要求をHTTP 301または302 応答をHTTPS リソースにリダイレクトします。
あなたが飛躍前に、SSL の疑惑のパフォーマンスの問題に関するいくつかの証拠を収集する必要があります。あなたはかなり驚くかもしれません。
SSLは現代のコンピュータではパフォーマンスに負担をかけません。 –
サーバーやコンピュータにはないが、3Gで接続しているスマートフォンや悪い接続についてはどうだろうか? –
SSL *接続にはほとんど影響しません。ネットワークトラフィックの増加は、3Gでも悪化することさえありません。パフォーマンスの負担があれば、CPU上に存在します.3世代前の携帯電話であっても、それは単純に負担になりません。 – AviD