httpでセキュリティを実装する最も良い方法は

Question

です。これを行うには、SSLを使用する方法があります。私はFacebookやLinkedInのようなWebサイトに行き、パスワードや個人設定などの機密データを扱うときにのみhttpsを使用することを確認します。これはどうですか？いくつかのウェブサイトでhttpsを実装するにはどうすればよいのですか？

Answer 1

HTTPサイトは安全ではありません。通常、ソーシャルネットワーキングログインなどの処理には、HTTPSのオーバーヘッドは不要とみなされます。たとえば、StackOverflowは安全ではありません。ネットワークスニファを持つ人は、ログインCookieを傍受してユーザーを偽装する可能性があります。

ログインが有効であることを確認するだけで、使いやすさはあまり気にしない場合は、digest authenticationを使用できます。 HTTP経由でユーザー名とパスワードを送信するための安全で安全な方法を提供します。もちろん、サイトから送り返されたデータやユーザーが提出したデータは、盗聴に脆弱です。

ショートバージョン：セキュリティが必要な場合は、HTTPSを使用します。 CAcertなどのサイトから無料の証明書を取得することもできます。

Answer 2

このアプローチは安全ではありません。 HTTPSを使用するときは安全ですが、HTTPに切り替えると、すべてのデータが暗号化されていない回線で送信されています。セッションIDクッキー（またはステータスとユーザーの識別も維持されます）。ですから、暗号化されていない回線の情報を盗み、あなたを偽装しようとするギャップはまだあります。

しかし、この2レーンのアプローチは一般的です。 HTTPSにはいくつかの欠点があるためです。 1つは高価（着信データの暗号化と復号化）で、もう1つはパブリックキャッシングを無効にすることです。

Answer 3

これは、httpsを使用していない場合、保護しようとしていることと、ユーザーにとってどれほど迷惑になるかによって異なります。

重要な情報のみが保護されるように、javascriptのデータを選択的に暗号化できますが、javascriptで行われた操作はリバースエンジニアリングできるので危険です。

あなたはJavaScriptでそれを行うための一つの方法のためにここに私の答えを見ることができる

：あなただけのデータを使用して、ハッシュを作成してもらう、または変換することができ、送信された状態で変更したくない場合は How Do I encrypt post data while using ajax and JQuery?

データをハッシュとして保存した場合はそのデータをハッシュに変換します。パスワードはしばしばハッシュとして保存されるので、これは意味をなさないでしょう。

これはすべてjavascriptで行うことができますが、データの送信が遅くなります。

httpを経由するwebservicesを使用している場合は、これらのオプションも機能しますが、プログラムがjavascriptに含まれていないため、処理速度が向上します。

Answer 4

HTTP/HTTPSだけでなく、セキュリティにはさらに多くのことがあります。これらは、ワイヤ上にある間にデータが読み取られないようにするためのものです。

HTTPサイトでHTTPS要求を行う最も簡単な方法は、whoの動作がhttps://yoursite/loginなどの形式であることです。これにより、あなたはそのページに移動し、多くの場合、これらのページはあなたが来た場所に戻り、またはあなたをホームページに転送します。そういうわけでFacebookはそれをしています。残りのサイトは、アクセス制御のため比較的安全と見なされます。アクセス制御は、何かを閲覧する権限を持つユーザーのみがそうすることができるようにすることです。これはWiresharkやトラフィックを妨害する他のツールから保護するものではありません。ajax経由で投稿を行うのは悪い考えです。なぜなら、クロスサイトスクリプティングを使ってajax呼び出しを混乱させるのは簡単すぎるからです。