Ankündigung

Einklappen
Keine Ankündigung bisher.

https für alle Seiten

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • https für alle Seiten

    Hallo

    Ich bin mir nicht sicher ob das hier der richtige Bereich ist. Falls es nicht passt, bitte verschieben.

    Immer wieder lese ich, dass https auf allen Seiten keinen Sinn macht. Vor allem Shops verwenden https nur dann, wenn Daten wie Anschrift oder Zahlung übertragen werden. Mir stellt sich jetzt die Frage, ob ich bei dem Thema Cookies, Datenübermittlung und SSL etwas nicht verstanden habe.

    Vorab:
    Es gibt Möglichkeiten, Cookies zu sichern. Also einem Besucher ziemlich eindeutig zuzuordnen.

    BTT:
    Viele Shops sichern ihre Cookies nicht ab. Wenn man sich angemeldet hat, wird ein Cookie platziert, mit dem der Besucher wieder erkannt wird.

    Häufig kann es auch vorkommen, dass weitere Cookies gesetzt werden, die Informationen wie Vor-/ Nachnamen enthalten oder andere private Daten.

    Wenn ich jetzt nicht die Übertragung jeder einzelnen Seite mit SSL absichere, kann man doch Cookies auslesen und übernehmen?
    Was spricht denn wirklich dagegen, dass man jede Seite mit https überträgt?

    Die Behauptungen mit "langsamer & mehr benötigte Leistung" kann ich so nicht bestätigen. Der Einsatz von mod_spdy spricht der eher dafür, dass man den ganzen Traffic über https laufen lässt. Was mit dem Einsatz eines HSTS-Header auch leicht verbessert werden kann.

    Warum also, gibt es so viele Leute, die der Meinung sind, dass man eine ganze Webseite nicht mit HTTPS ausliefern soll?
    Der Unterschied zwischen dem richtigen Wort und dem beinahe richtigen ist derselbe Unterschied wie zwischen dem Blitz und einem Glühwürmchen.

  • #2
    Zitat von SteiniKeule Beitrag anzeigen
    Die Behauptungen mit "langsamer & mehr benötigte Leistung" kann ich so nicht bestätigen.
    Es stellt sich die Frage wie du das dann gemessen hast. Die Logik gebietet ja schon das Verschlüsselung langsamer sein muss als keine Verschlüsselung, weil es eben ein (aufwendiger) Schritt mehr ist. Das du das in der Praxis bei 10 Requests pro Minute nicht merkst kann natürlich gut sein. Ich vermute aber man findet dazu Benchmarks.

    Alle anderen Fragen lassen sich denke ich durch das Lesen einer umfassenden Darstellung zu HTTPS selbst beantworten (Zu den Nachteilen z.B.: http://www.quora.com/Are-there-any-d...nstead-of-HTTP)

    Zusätzlich sei noch erwähnt das Google seit ca. einem Jahr ausnahmslos ALLE (Such-)Anfragen über HTTPS beantwortet.

    Kommentar


    • #3
      Ich find nciht die programmnierfrage in dem thread, schon gar kein code.

      Kommentar


      • #4
        HTTPS ist in erster Linie ein Schutzmechanismus vor MITM-Angriffe. Als Faustregel gilt, schütze alles was Benutzerspezifisch ist und/oder den Nutzer kompromitieren könnte wenn es denn ungeschützt abgehandelt werden würde, alles andere bedarf keinen Schutz was dich aber nicht daran hindert alles via HTTPS abzuhandeln.

        Zu den von Tropi geposteten Statements sei gesagt das sich die meisten Webcluster nicht mehr wie in den 90ern verhalten. Heute sind bspw. bei den großen Clouds und/oder Clustern SSL-sensitive Loadbalancer vorgelagert, die den Webserver-Prozess entlasten sollen. Aus heutiger sicht ( also Stand der Dinge 2014 ) spricht nichts dagegen eine Webseite generell via HTTPS auszuliefern. Viele tun das auch schon, wenn auch noch nicht Service-übergreifend ( bspw. Google, Facebook, Twitter ) und das nicht nur weil dort benutzerspezifische Sachen gehandhabt oder aggregiert werden.

        SSL ist, bezogen auf PHP-Anfänger und kleinere Projekte, zumeist aber nicht im Budget ( falls überhaupt eins vorhanden ist ), dafür gibt es alternative Zertifikate und/oder SSL-Proxys ( Stato gibt jeder Domain einen SSL-Proxy ). Als Beispiel: https://ssl-id.de/thor.tr0y.de/
        [URL="https://gitter.im/php-de/chat?utm_source=share-link&utm_medium=link&utm_campaign=share-link"]PHP.de Gitter.im Chat[/URL] - [URL="https://raindrop.io/user/32178"]Meine öffentlichen Bookmarks[/URL] ← Ich habe dir geholfen ? [B][URL="https://www.amazon.de/gp/wishlist/348FHGUZWTNL0"]Beschenk mich[/URL][/B].

        Kommentar


        • #5
          Zitat von Tropi Beitrag anzeigen
          Es stellt sich die Frage wie du das dann gemessen hast. Die Logik gebietet ja schon das Verschlüsselung langsamer sein muss als keine Verschlüsselung, weil es eben ein (aufwendiger) Schritt mehr ist.
          Damit hast du zu 100% Recht. Verschlüsselung ist immer mehr Aufwand. Die Frage ist natürlich immer, wie die Webseite / der Inhalt aussieht, den man übermittelt.
          Habe ich
          - ein 10MB Hintergrundbild
          - 15 css-Dateien ja 100k unkomprimierter Zeilen mit 75k Kommentarzeilen
          - 40 JS-Dateien mit 50% Kommentaren und unkomprimiert
          - Viele Bilddateien als Icons

          usw. Dann kann ich dir da recht geben. Es gibt unzählige Sachen, die man schlecht machen kann. Und dann kann man sicher auch einen Unterschied messen.

          Aber ich konnte bei meiner Einstellung keinen Unterschied messen. In meinem CMS werden alle CSS und JS Dateien (so weit es möglich ist) zu einer verpackt. Somit kann ich schon mal die Anzahl der Anfragen um einen hohen Faktor reduzieren.
          Als Beispiel mein aktuellstes Projekt. 18 CSS-Dateien. Liegt einfach daran, dass jedes Plugin für Jquery etc eine CSS-Datei mit bringt.
          Das wären 18 https Anfragen, die ich auf eine reduziert habe.
          Das gleiche kann man mit der Hälfte meiner 32 JS-Dateien machen.

          Somit habe ich die Anzahl der Anfragen um ca 35 Stück reduziert. Wenn man dann noch den Cache aktiviert, hat man auf der ersten Seite ca 250KB und danach reduziert man jede Anfrage auf ein paar hundert Byte. Ohne jetzt auf die Vorteile einer solchen Reduktion an sich einzugehen. Es macht einfach einen Unterschied ob man 15MB oder 50KB pro Seitenaufruf hat. Und, um zurück zum Thema https - Serverlast zu kommen; Ich kann keinen Unterschied bei 300Byte Anfragen mit / ohne https erkennen.
          Vielleicht kommt der Unterschied auch erst bei 1.000 Anfragen pro Sekunde, aber man kann immer noch nachbessern und optimieren.

          Zitat von tr0y Beitrag anzeigen
          Als Faustregel gilt, schütze alles was Benutzerspezifisch ist und/oder den Nutzer kompromitieren könnte wenn es denn ungeschützt abgehandelt werden würde, alles andere bedarf keinen Schutz was dich aber nicht daran hindert alles via HTTPS abzuhandeln.
          Ich kann als Betreiber eine Webseite einschätzen, wann Daten geschützt werden müssen/sollten. Aber warum muss ich meine Ansicht dem Besucher "aufzwingen"? SSL-Zertifikat habe ich schon, Serverlast ist nicht der Rede wert und Nachteile von "https für alle Seiten" kann ich nicht erkennen und wurden mir bisher auch nicht genannt.
          Das Argument "unnötig" kann ich nicht nachvollziehen. Wie kann Sicherheit unnötig sein? Wenn man SSL hat, kann man es auch einsetzten.

          Und für alle die jetzt mit Beispielen wie Amazon, Facebook oder Google kommen: Wer bei einem solchen Unternehmen mit Faustregeln arbeitet, bei dem sollte man mit der Faust etwas ganz anderes regeln.
          Das Thema bezieht sich nur auf die ~95% der "normalen" Webseiten, die nicht so viel Traffic haben, dass sich ein eigenes RZ lohnt.

          Noch ein ganz anderer Punkt.
          SSL kostet doch nichts. Für eine einfache statische Seite würde ich mir auch keins kaufen. Aber für jede Seite, die eine Eingabe von einem Nutzer erwartet, würde ich die paar Euro in die Hand nehmen. Es wirkt doch schon deutlich seriöser, wenn man SSL anbietet.
          Der Unterschied zwischen dem richtigen Wort und dem beinahe richtigen ist derselbe Unterschied wie zwischen dem Blitz und einem Glühwürmchen.

          Kommentar


          • #6
            Sicherheit ist dann unnötig wenn aus dem Schutz das selbe resultiert wie ohne, ganz gleich welcher Angriff auf die Seite zielt.
            [URL="https://gitter.im/php-de/chat?utm_source=share-link&utm_medium=link&utm_campaign=share-link"]PHP.de Gitter.im Chat[/URL] - [URL="https://raindrop.io/user/32178"]Meine öffentlichen Bookmarks[/URL] ← Ich habe dir geholfen ? [B][URL="https://www.amazon.de/gp/wishlist/348FHGUZWTNL0"]Beschenk mich[/URL][/B].

            Kommentar


            • #7
              Google solle reine HTTPS Seiten auch schon besser bewerten. Aus diesem Grunde würde ich auch nicht mehr nur einzelne Seiten über HTTPS laufen lassen, sondern dann ganze Projekt.

              Kommentar


              • #8
                Zitat von smilla Beitrag anzeigen
                Google solle reine HTTPS Seiten auch schon besser bewerten. Aus diesem Grunde würde ich auch nicht mehr nur einzelne Seiten über HTTPS laufen lassen, sondern dann ganze Projekt.
                Quelle?
                Der Unterschied zwischen dem richtigen Wort und dem beinahe richtigen ist derselbe Unterschied wie zwischen dem Blitz und einem Glühwürmchen.

                Kommentar

                Lädt...
                X