我正在寻找以完整的https创建一个新网站的可能性,因为它只是在https中有部分内容,例如登录。这是基于最近OWASP report
中提供的指南我在寻找这种方法的优点和缺点?是的,我获得了安全感,但是这样做会让我失去什么?所有反馈都会很棒。
答案 0 :(得分:1)
完整的https有两个缺点。
对于现代系统,加密和会话设置对性能的影响在今天确实是一个问题。性能不再是不使用https的借口。
Http代理无法缓存https页面或资产,这可以被视为好事或坏事。如果你依赖缓存来提高性能会很糟糕,它主要会影响脚本,css和图像等页面资源。但是,客户端缓存应该仍然有效。
完整的https提供的安全性,身份验证和客户信心的提升远远超过了这些缺点。
答案 1 :(得分:0)
金钱和速度。
您需要购买安全证书,如果您正在运行子域,则需要投资通配符安全证书(这可能非常昂贵)。
与非SSL(http)相比,您的网站在SSL(https)上会更慢。
答案 2 :(得分:0)
优点显而易见: - 连接是安全的(这意味着保密并且具有完整性)
中性: - https不提供真实性(您仍需要实现某些功能) - 所有更高级别也应该得到保护(如果连接安全,并不意味着整个协议是安全的)
缺点: - 性能可能会变慢 - 由于性能下降可能会出现可用性问题(我相信它对DDoS https网站来说更容易)。