Varför inte alltid använda sig av ssl på hemsidor ?

[Forcevision]

Tja !

Funderade lite och igentligen varför använder man sig inte alltid av https istället för okrypterat http ?

/Force

[andol]

En anledning till att man velat undvika https:// är att olika webbläsare varit/är lite restriktiva med i vilken omfattning de cachar innehåll serverat den vägen.

[philip5]

Handlar väl också om att effektivt utnyttja sina resurser efter behov. Långt ifrån allt mediainnehåll behöver ju skyddas med någon form av kryptering men skulle i onödan belasta servern.

Ska man dra det ytterligare skulle då helst alla serverar ha äkta certifikat som går att verifiera vilket skulle kosta en onödig slant för alla sajtägare som inte behöver det. Visst man kan generera ett eget som man får tvinga användaren att godkänna som betrodd.

[Forcevision]

Men då är ju besökaren alltid skyddad om siten är krypterad. Men belastar en ssl kryptering internet hastigheten ?

Sedan varför kan man inte skapa egna betrodda certifikat så man slipper detta med att godkänna ?

[Emil.s]

Men då är ju besökaren alltid skyddad om siten är krypterad. Men belastar en ssl kryptering internet hastigheten ?

Sedan varför kan man inte skapa egna betrodda certifikat så man slipper detta med att godkänna ?

Inte den fysiska nätverkshastigheten, men nånstans lär det ju behövas datorkraft för att kryptera trafiken.

Det går utmärkt att köpa egna betrodda cert. T.ex här:
http://www.verisign.com/ssl/buy-ssl-certificates/

[Hund]

https är ju dock en falsk trygghet och inte inte vidare jättesäkert har jag fått lära mig av min vän som jobbar inom området.

[andol]

https är ju dock en falsk trygghet och inte inte vidare jättesäkert har jag fått lära mig av min vän som jobbar inom området.

Bara för att det inte är jättesäkert behöver det ju inte vara en falsk trygghet. Beror ju helt på vilka förväntningar man har, och vilka hot man vill skydda sig emot.

(Fast visst, det är säkert inte ovanligt att folk uppfattar det som att https tillhandahåller en större säkerhet än vad det faktiskt gör.)

[pun]

https är ju dock en falsk trygghet och inte inte vidare jättesäkert har jag fått lära mig av min vän som jobbar inom området.

Bara för att det inte är jättesäkert behöver det ju inte vara en falsk trygghet. Beror ju helt på vilka förväntningar man har, och vilka hot man vill skydda sig emot.

(Fast visst, det är säkert inte ovanligt att folk uppfattar det som att https tillhandahåller en större säkerhet än vad det faktiskt gör.)

Jo ovanstående resonemang är ju på gränsen till FUD......var är faktat ??...

När jag följt säkerhetsdebatten så kommer då ofta "The Man in th middle" begreppet fram och visst är det genomförbart.....

Om:
http://www.owasp.org/index.php/Man-in-the-middle_attack

Men... scenariot bygger på dels en mycket "tafatt" användare samt att det är en mikroskopisk sannolikhet att råka ut för det här !!

Ett annat scenario är DNS spoofing men jag kan inte där heller så någon större risk inom ett civiliserat land med ordnad IT-infrastruktur.

Slutligen så handlar det då sedan om uppdaterade datorer som inte kör gammal junk i form av mjukvara.....(dvs säkerhetshål).

EDIT Sen finns det då "kloakdykare" som besöker jordens träskmarker i form av servrar tex de som sysslar med Crackz o Windooze, mm "avskräde" .... (och de får ju skylla sig själv....)

[amelia]

SSL-kryptering är väl fiffigt, men det är ju inte bara krypteringen man vill ha. Det är även garantin att sidan verkligen är den sida den utger sig för att vara. Ett SSL-cert som är självutfärdat d.v.s. du gör det själv och signerar det själv är inte värt särskillt mycket ur säkerhetssynpunkt. Att köpa ett certifikat som är signerat av en utfärdare som man kan lita på kostar mycket pengar. Om ingen garanterar att den krypterade sidan verkligen är vad den utger sig för att vara, hur kan du då lita på att krypteringen gör någon skillnad?

Förutom ekonomiska och förtroende aspekterna så ställs man inför problem andra om man har större webbsidor. Det kräver både datakraft för att kryptera sidorna och även lastbalanserare, cache-funktioner och liknande som hanterar SSL på ett bra sätt. Ta t.ex. Facebook, det finns anledningar till att de inte krypterar all sin trafik även om de har råd med certifikatet, det skulle kräva så många fler webbservrar bara för att kunna kryptera trafiken.

[pun]

Jo men för att inte göra någon "nojjig" över det här så tar man det viktigaste för de flesta dvs en bank så är det då mer än https samt SSL.

Kodutbytet sker sedan med realtidskoder med tidstimeouter så en "man in the middle" kan då ev avlyssna trafiken men inte utföra några transaktioner eftersom han inte har tillgång till koddosan....

Owasp är förövrigt en trevlig sida för de som vill fördjupa sig och sprida riktiga fakta !

http://www.owasp.org/index.php/Main_Page

[Emil.s]

Men... scenariot bygger på dels en mycket "tafatt" användare samt att det är en mikroskopisk sannolikhet att råka ut för det här !!

Ett annat scenario är DNS spoofing men jag kan inte där heller så någon större risk inom ett civiliserat land med ordnad IT-infrastruktur.

Tar 5 min från att man har en färsk Ubuntu-installation tills dess att man kan sätta upp en trådlös accesspunkt.
Lämpligt namn kan kanske vara "Telia Homerun" kanske?

Och sen är det fritt fram med både DNS-spoof och MITM.

Eftersom du själv verkar ha stor insikt i hur en "normal användare" resonerar, så bör du känna till att de flesta surfar på precis som vanligt på "hotspots".

Men visst, man kommer inte över några kort-nummer, och kör man en någolunda modern webbläsare så får man en röd "stopp-skylt" i ansiktet om nån kör MITM på en SSL anslutning, men det är mycket info som inte går över SSL...

Till ämnet:
Men så länge man använder ett pålitligt cert så är väl ändå SSL relativt säkert?
Om man sätter upp en MITM så märker man väl det genom att antingen så är den inget cert alls även om det borde vara det, eller så är det ett ogiltigt cert?

Eller har det dykt upp nya metoder för att knäcka SSL som jag missat?

[Kirill]

MITM inträffar varje dag, 24/7 365 dagar om året! Och nu har ju media blåst på stora tutan med insticket till Firefox och guuuuud så osäkert det är

Media verkar ha sovit de senaste 20-30 åren från att MITM inträffar varje dag. Har själv nyttjat MITM, dock i professionellt utövande i mitt förra arbete bla

[gusse02]

Apropos man-in-the-middle och certifikat som inte är giltiga. Är det fler än jag som har stött på sajter med certifikat som har gått ut (tidsgränsen)? Vad gör man? Det rätta är antagligen att följa browserns rekommendation att inte gå vidare. Men jag chansade. Man får göra ett risköverslag. Men hur många av vanliga Internetanvändare vet vad man ska göra? Hur stor andel är det som bara går vidare? Med risken att det verkligen är MITM?