1. ev
  2. Soru-cevap
  3. SSL: Güvenlik ile API performansını nasıl dengeleyebilirsiniz?

SSL: Güvenlik ile API performansını nasıl dengeleyebilirsiniz?

2010-11-18 15 views
1

Korkunç güvenlikli API'lar yaygın bir yerdir. Noktadaki durum - TechCrunch'ta this story.SSL: Güvenlik ile API performansını nasıl dengeleyebilirsiniz?

Sorunu yanıtlıyor, SSL söz konusu olduğunda güvenliği nasıl performans ile dengeliyorsunuz? Açıkçası, kullanıcı adları ve şifre gibi hassas bilgiler SSL üzerinden gönderilmelidir. Bir API anahtarını kullanan sonraki çağrılardan ne haber? Kimlik kanıtı gerektiren API çağrıları söz konusu olduğunda şifrelenmemiş bir bağlantının kullanılması hangi noktada tamamdır?

kaynak

2010-11-18 Anonymous

+0

SSL, bilgisayar - dönem için bir performans yükü değil. –

+0

Sunucuda veya bilgisayarlarda değil, siteye 3G veya daha kötü bir bağlantı üzerinden erişen bir akıllı telefondan ne haber? –

+0

SSL * zorlukla * bağlantıyı etkiler, ağ trafiğindeki artış 3G veya daha kötüsü için önemsiz * eşittir *. Varsa, performans yükü CPU'daydı - hatta 3 nesil telefonlarda bile, bu sadece bir yük değil. – AviD

cevap

1

Sorun şu ki, uygulamanızın performansını anlamadan, uygulamayı metriksiz olarak denemek ve optimize etmek yanlıştır. Bu, devlerin, bir başka 10ms performans sergilediğini düşünerek şifrelenmemiş bir API bırakma kararlarına yol açar. Güvenlikle ilgili endişeleri dengelemek için en iyi yolu seçin, önce güvenlik konusunda endişelenmek, gerçek müşterilerden bazı yükler almak (bazı mimarlar tarafından takılan beyaz tahta sopa rakamları değil) ve performanstan şüpheleniyorsanız, kodunuzdan gerçek ölçüler elde edebilirsiniz. konu. Güvenlikle ilgili olmayacak garip bir his var.

kaynak

2010-11-18 19:53:45 Achilles

2

Karışık içeriğe izin veriyorsanız, ortada bir adam, sayfada zaten bulunan hassas bilgileri çalması için karma içeriği yeniden yazdırabilir. Ücretsiz kablosuz erişim sağlayan kafeler ve benzerleriyle, ortadaki adam saldırıları bu kadar zor değildir.

https://www.eff.org/pages/how-deploy-https-correctly

iyi bir açıklama verir:

bir uygulamayı barındıran HTTPS üzerinden, hiçbir karışık içerik olamaz; , sayfadaki tüm içeriğin HTTPS aracılığıyla getirilmesi gerekir. , sitelerde ana sayfalarına aracılığıyla getirilen kısmi HTTPS desteğine bakın, ancak sayfadaki HTTPS öğeleri, biçembentler ve JavaScript öğelerinin bir kısmı veya tamamı HTTP yoluyla getirilir.

Bu ana sayfa yükleme aktif ve pasif ağ saldırısı, diğer kaynakların hiçbiri karşı korunmuş olmasına rağmen, çünkü güvenli değildir. Bir sayfası HTTP üzerinden bazı JavaScript veya CSS kodu 'u yüklüyorsa, bir saldırgan bir yanlış, zararlı kod dosyası sağlayabilir ve yüklendikten sonra sayfanın DOM'si üzerinden numaralı telefonu alabilir. Sonra, kullanıcı güvenliği olmayan bir durumuna dönecekti. Bu , tüm yaygın tarayıcıların kullanıcılarını karışık içeriğine yüklenen sayfalar hakkında uyarmalarıdır. HTTP üzerinden görüntülerine başvurmak güvenli değildir: Ne de saldırganın iletiyi kaydet ve Webmail uygulamasında İleti simgelerini sil?

Tüm uygulama etki alanını HTTPS üzerinden sunmalısınız. Eşdeğer HTTPS kaynağına HTTP 301 veya 302 yanıtlarıyla HTTP isteklerini yeniden yönlendirin.

kaynak

2010-11-18 20:15:27

0

Sen sıçrama önce SSL sözde performans sorunları ile ilgili bazı kanıt toplamak gerekir. Oldukça sürpriz olabilir.

kaynak

2010-11-21 08:15:18 EJP

İlgili konular

 İlgili konular