Безопасность - DiscoverCard.com
У меня есть вопрос по безопасности, SSL о http://discovercard.com/
Когда вы впервые заходите на домашнюю страницу Discover Card, вы можете ввести свое имя пользователя и пароль без защиты веб-сайта SSL. Когда вы нажимаете войти, информация передается по протоколу SSL, но на домашней странице сам протокол SSL не используется.
Как вы думаете, почему Discover делает это? Хорошо ли это делать? Существуют ли какие-либо риски для безопасности при этом?
Любой другой банк или веб-сайт кредитной карты, на который я зашел, имеет SSL везде, где вы вводите имя пользователя и пароль.
Спасибо за комментарии!
2 answers
Большинство сайтов этого не делают, потому что, теоретически, атака "Человек посередине" может быть использована для подделки страницы входа без HTTPS, чтобы информация для входа могла быть перехвачена.
Хотя на практике атака MitM - это очень редкая и сложная атака. Если вы не находитесь в незащищенной сети, у вас почти нет шансов, что это произойдет. И если бы вы стали жертвой атаки MitM, я даже не уверен, что использование страницы входа HTTPS помогло бы. (Были сообщения о мошеннических ЦС сертификаты создаются с использованием устаревшего алгоритма MD5 корневыми центрами сертификации; а также истории создаваемых сертификатов с подстановочными знаками, которые можно использовать в любом полном доменном имени.)
Тем не менее, если SSL является безопасным (надеюсь, эти эксплойты были исправлены), то клиент должен быть защищен от атак MITM, если он использует современный браузер и обращает внимание на предупреждения браузера (своего рода большое "если", учитывая, что многие крупные сайты даже не утруждают себя использованием надлежащего SSL сертификаты). И пользователи действительно чувствуют себя в большей безопасности, когда видят маленький значок блокировки в своем браузере, так что это может быть достаточно веской причиной для его использования, поскольку у использования HTTPS на странице входа есть несколько недостатков. Замедление должно быть незначительным, учитывая, что затраты на шифрование SSL ничтожны по сравнению с затратами на базы данных или сценарии в большинстве приложений.
Да, я могу заверить вас, что http://discovercard.com / защищен. Почему? Что ж, пожалуйста, проверьте http://discovercard.com осторожно. Непосредственно перед тем, как нажать кнопку "Войти", пожалуйста, тщательно проверьте кнопку "Войти". В строке состояния вы увидите, что при нажатии на эту кнопку ваш запрос будет перенаправлен на безопасный протокол HTTPS.
С этого момента я могу гарантировать, что этот портал безопасен и безопасен.
Почему http://discovercard.com / сделайте все это? Ну, если вы запустите свой сайт полностью по протоколу HTTPS, ваш сайт будет загружаться медленнее, чем обычный сайт. Пожалуйста, помните, что вам придется защищать свой сайт только при вводе некоторых учетных данных, а не на весь сайт. Если посетитель заходит на ваш сайт просто для просмотра, ему не нужен защищенный канал. На самом деле, он может уйти, если узнает, что ваш сайт загружается медленнее из-за существования SSL.
Надеюсь, это поможет:-)