我允许用户使用第三方凭据登录我的网站(让我们称之为SocialFoo)。用户通过HTTPS通过POST提交SocialFoo的用户名和密码。 POST完成后,在服务器端,我通过对SocialFoo的API调用验证凭据。
通过HTTPS而不是HTTP调用SocialFoo是否有任何安全性好处?由于此请求理论上不会向用户公开,因此数据中心的数据包嗅探器是否存在安全风险?
答案 0 :(得分:1)
通常,在会话处于活动状态时的列表中,会根据您的每个请求将一些身份验证令牌传输到服务器。要防止此令牌在穿越网络时被捕获和篡改,请确保对所有需要经过身份验证访问的页面使用SSL。
答案 1 :(得分:0)
是
如果没有安全传输,总是存在信息被盗的风险。作为一般经验法则,任何和所有进出的敏感数据都应加密。它不仅是使用HTTPS的“安全优势”,而且应该是一项要求。
答案 2 :(得分:0)
我会说你的具体问题的答案是否定的。 SSL加密用于在网络上传输网络流量时保护网络流量。如果两个服务器位于同一本地网络上并且该网络位于单个数据中心,则使用ssl的唯一原因是防止该数据中心中该网络上的威胁。 另一个问题是,如果不保护本地网络上的威胁是一种良好的安全措施。
答案 3 :(得分:0)
除了嗅探你和远程主机之间的流量之外,没有任何风险。 SSL可以保护您免受正常使用时的影响。加密可以防止您的数据在被观察时被理解,并且身份验证可以让您知道它很可能没有被篡改。
关于数据中心嗅探器的具体问题...... 如果两个主机都位于同一交换机下的数据中心,那么您可能没问题。 如果不是,那么您需要询问两个交换机之间的VLAN桥接,假设您为两个主机租用了两台交换机。
如果您的数据中心不会让您刚刚接通并桥接这两者,那么您将需要使用SSL或任何其他使用良好的方案。如果你想看看你的交换机下的流量是多么容易(有时甚至更进一步),只需运行tcpdump(Linux)或Wireshark(Windows)。
只要安全,请使用SSL。这些天性能并没有真正的问题,除非你使用16384位密钥,运行自己的CA并进行实时CRL检查,并且需要超过1,000个连接/秒。或者,您正在使用旧硬件......在这种情况下,至少使用2048位密钥。
此外,根据您的业务或传输内容,可能需要您所在国家/地区的法规来保护数据或至少合理地尝试保持某种机密性或身份验证。
补充说明:您提到由于请求未向用户公开,因此您可能不需要SSL。 SSL保护用户的数据。它不会阻止用户对协议进行逆向工程,在数据传输之前篡改数据或类似的东西。我可能会误解你的观点,但我想我会把它扔出去。