it-swarm.com.de

Warum erzwingen einige Websites einen Mangel an SSL?

Beim Versuch, https://www.ebay.com zu besuchen, habe ich festgestellt, dass ich sofort zu HTTP umgeleitet werde. Hier ist, was cURL dazu sagt:

$ curl --max-redirs 0 -v -L https://www.ebay.com
* Rebuilt URL to: https://www.ebay.com/
* Adding handle: conn: 0x6c8cc0
* Adding handle: send: 0
* Adding handle: recv: 0
* Curl_addHandleToPipeline: length: 1
* - Conn 0 (0x6c8cc0) send_pipe: 1, recv_pipe: 0
* About to connect() to www.ebay.com port 443 (#0)
*   Trying 66.135.210.61...
* Connected to www.ebay.com (66.135.210.61) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* SSL connection using SSL_RSA_WITH_RC4_128_MD5
* Server certificate:
*       subject: CN=www.ebay.com,OU=Site Operations,O=eBay Inc.,L=San Jose,ST=California,C=US
*       start date: Jun 06 00:00:00 2013 GMT
*       expire date: Jun 07 23:59:59 2014 GMT
*       common name: www.ebay.com
*       issuer: CN=VeriSign Class 3 Secure Server CA - G3,OU=Terms of use at https://www.verisign.com/rpa (c)10,OU=VeriSign Trust Network,O="VeriSign, Inc.",C=US
> GET / HTTP/1.1
> User-Agent: curl/7.32.0
> Host: www.ebay.com
> Accept: */*
> 
< HTTP/1.1 301 Moved Permanently
< Location: http://www.ebay.com/
* no chunk, no close, no size. Assume close to signal end
< 
* Closing connection 0
* Maximum (0) redirects followed
curl: (47) Maximum (0) redirects followed

Warum sollten Websites Klartext-HTTP erzwingen, während sie SSL unterstützen, wodurch die Surfgewohnheiten des Benutzers belauscht werden?

41
d33tah

Es gibt einige Gründe (nicht unbedingt gute Gründe, aber dennoch Gründe), HTTP gegenüber HTTPS zu bevorzugen. Wenn diese Gründe zutreffen, ist es sinnvoll, die HTTP-Nutzung auch dann zu erzwingen, wenn der Client HTTPS verwenden möchte.

Ein (normalerweise) schlechter Grund für die Bevorzugung von HTTP ist einer, der in einer solchen Debatte häufig geäußert wird: SSL wird häufig als schwer angesehen, sowohl für die Rechenkosten der Verschlüsselung als auch aufgrund seiner Konsequenzen für das Caching (obwohl es möglich ist, zwischenzuspeichern) Bei Seiten, die über HTTPS bereitgestellt werden, verhindert die SSL-Schicht einige Tricks wie transparente Proxys , die üblicherweise vom ISP angewendet werden. Die Rechenkosten werden überbewertet (früher war es ein Engpass in Zeiten von 3DES- und 90-MHz-Pentium-Maschinen mit schnellem Ethernet, aber seitdem haben sich die Dinge geändert). Beim Caching ist zu beachten, dass es zunehmend irrelevant wird, wenn Seiten dynamischer werden.

Wir können uns jedoch vorstellen, dass Ebay eine weit verbreitete ISP-basierte Proxy-Funktion für alle von ihnen bereitgestellten Artikelbilder fördern möchte. Ich kann mir leicht vorstellen, dass diese Bilder einen wesentlichen Teil der Netzwerkbandbreite von Ebay verschlingen. Das Erzwingen von einfachem HTTP maximiert die Wahrscheinlichkeit, dass Caching stattfindet, und spart so Geld bei Ebay.

Ein weniger schlechter Grund für die Bevorzugung von HTTP besteht darin, das automatische Scannen von Daten auf unerwünschte Inhalte und die Erkennung von Eindringlingen zu vereinfachen. SSL ist Ende-zu-Ende. Wenn ein solches Scannen in einer HTTPS-Welt angewendet wird, muss es an einem der Enden erfolgen, was in einer bestimmten großen Architektur möglicherweise unpraktisch ist.


Was die Privatsphäre Ihrer Surfgewohnheiten angeht, glaube ich nicht, dass Ebay eine Feige darüber gibt. Tatsächlich sind sie konstruktionsbedingt sehr bemüht, Ihre Surfgewohnheiten zu lernen, zu analysieren, zu profilieren und möglicherweise zu verkaufen (Werbetreibende zahlen für solche Informationen). Es erscheint daher nicht vernünftig, wirklich zu erwarten, dass Ebay Ihre Privatsphäre aktiv schützt, da ein Teil des Geschäftsmodells genau das Gegenteil ist.

40
Thomas Pornin

Aus persönlicher Erfahrung: Ich habe eine Website verwaltet, die alle Formulardaten über eine sichere https-Verbindung senden wollte. Aus verschiedenen Gründen wurden auf anderen Seiten jedoch nicht sichere Inhalte angezeigt, die wir nicht über https verarbeiten konnten.

Dies führte zu großen Warnzeichen in Firefox und Chrome (DIESE WEBSITE ENTHÄLT NICHT SICHERE ELEMENTE mit schreienden Ausrufezeichen in der Adressleiste und dergleichen), die für den Nicht-Initiierten beängstigend aussahen, obwohl nichts Verdächtiges war Ereignis.

Um das Senden der falschen Nachricht zu vermeiden, haben wir den Datenverkehr für Seiten, die keine Kundendaten gesendet haben, einfach über http umgeleitet.

Ebay scheint dasselbe zu tun: Wenn Daten tatsächlich in einem Formular eingegeben und übertragen werden, handelt es sich immer um https.

Um ehrlich zu sein: In unserem Fall fehlte uns das Budget, um alle Seiten durchzugehen und die unsicheren Elemente zu beheben, die eigentlich der richtige Weg gewesen wären.

Der einzige andere Grund, den ich mir vorstellen kann, ist die Leistung: Genau genommen ist SSL langsamer.

Kurz gesagt: Ich kann mir Gründe vorstellen, den Datenverkehr über http umzuleiten, aber in meinem Fall war dies definitiv keine bewährte Methode.

22
user3244085

Es ist schwer, eine gute Antwort zu geben, da es wohl keine gute gibt. Grund dafür.

Wenn ich Vor- und nicht Nachteile auflisten müsste, würde ich Folgendes sagen:

Wenn eine Site nicht möchte, dass Benutzer, die versuchen, die Site über https zu besuchen, glauben, dass sie nicht verfügbar ist, und SSL-Unterstützung für einige Funktionen, wie z. B. die Anmeldung, haben, aber nicht die Infrastruktur unterstützen, die alle zulässt Inhalt über SSL gehen, dann könnte es versuchen, dies zu tun.

Lange Zeit war es ein weit verbreiteter Mythos, dass SSL viel mehr Hardware als normales HTTP erfordert. Eine alte Entscheidung kann nicht wiederholt werden.

Weitgehend zwischengespeicherte Sites haben weniger Last, wenn Caching-Proxys einen Teil der Last tragen können, was unmöglich ist, wenn SSL aktiv ist.

Bandbreitensparende Tools wie die optionale Komprimierung in Opera und Chrome funktionieren nicht mit Inhalten, die über SSL bereitgestellt werden.

14
Matthew Elvey

Es ist am wahrscheinlichsten, dass der Nutzen des Caching erhalten bleibt und die Last reduziert wird, die mit den enormen Mengen an Spinnen-Crawlen verbunden ist, die erforderlich sind, um externe Suchvorgänge auf dem neuesten Stand zu halten.

Das Schlimme ist nicht so sehr, dass ein Dritter sehen kann, welche Seite Sie angesehen haben (das Netzwerk von Analytics-Dienstprogrammen, die überall installiert sind und an Google zurückmelden, garantiert bereits, dass Sie fast überall verfolgt werden), sondern dass zwischen HTTP gewechselt wird und HTTPS bietet mehrere Punkte, um von einer nicht authentifizierten HTTP-Site zu einer gefälschten HTTPS-Site mit einem gefälschten Zertifikat fehlzuleiten. Das Risiko besteht nicht darin, Inhalte auf den HTTP-Seiten nicht wirklich zu verfolgen, und diese Art des Hin- und Her-Springens schwächt das Bewusstsein eines Benutzers für Bedrohungen.

Für den durchschnittlichen Benutzer ist es viel schwieriger zu verstehen, dass jedes Mal, wenn HTTPS-> HTTP-> HTTPS auftritt, eine beängstigende Öffnung auftritt, insbesondere da dies bei den meisten Personen nach der Protokollierung und Authentifizierung beim Server auftritt.

"Oh, sieh mal, eine Zertifikatswarnung ist gerade aufgetaucht. Seltsam. Aber ich bin in dieser ganzen Zeit unterschrieben worden (drücke sofort die Schaltfläche 'Entlassung/Ausnahme dauerhaft hinzufügen')."

Eine bessere Lösung wäre, alle öffentlichen (für anonyme Benutzer sichtbaren) Teile der Website sowohl über HTTP als auch über HTTPS verfügbar zu machen, damit Suchmaschinen zufrieden sind und Spinnen Seiten mit geringer Last crawlen, aber niemals jemanden umleiten, sobald sie zu HTTPS wechseln. Wenn sie sich jedoch wirklich um die Sicherheit kümmern würden, würden sie niemals automatisch von HTTP zu HTTPS umleiten - diese Art der automatischen Umleitung ist eine Gelegenheit, jedes Mal einen MITM-Angriff einzurichten, und sogar Banken tun dies.

1
zxq9

Wenn ein Benutzer aus Sicht der Benutzererfahrung SSL sieht und die Sicherheit visualisiert, wird er in der Regel unnötig vorsichtig.

Wenn Sie beispielsweise eine Website mit dem Bild einer Sperre auf der Startseite haben, auf der "Wir sind sicher" steht, werden die Conversion-Raten drop. Es ist nicht immer eine schlechte Idee, diesen Mechanismus vor dem Benutzer zu verbergen, und wenn der Austausch und die Authentifizierung von Passwörtern korrekt implementiert sind, ist dies wirklich kein Sicherheitsproblem.

Wir können uns auch vorstellen, wie ein Angreifer tatsächlich länger brauchen könnte, um eBay zu hacken, wenn eBay seine Sicherheitsprotokolle verdeckt, weil sie schwach erscheinen, obwohl sie in Wirklichkeit einige ziemlich beeindruckende Sicherheitslinien haben müssen.

Erscheinen Sie schwach, wenn Sie stark sind, und stark, wenn Sie schwach sind

- Sun Tzu, Die Kunst des Krieges

1
OneChillDude