نیاز یا عدم نیاز به SSL
سلام دوستان
به نظرتان برای یک سیستم اداری که در شبکه داخلی هست و چند نفر از طریق اینترنت نیاز به ورود دارند، چقدر ضروری هست که برای سرور SSL تهیه بشه و با https لاگین کنن؟
ممنون
6 پاسخ
قطعا مثل سایت های پر بازدید نخواهد بود ، و اینکه همانطور که خدمت شما عرض کردم این مورد بسته به سیاست شما و نیاز شما داره ، اگر حساسیت وجود نداره خب پس هیچی ! و در مقام مقایسه بله سایت شما بازدیدی نخواهد داشت . اما اگر در مقام انتخاب درست ترین قرار دارید خب پس SSL جواب خواهد بود .
ممنون از پاسخگویی دوستان
اجازه بدید سوالم رو به طریق دیگه ای مطرح کنم
یک سرویسی که افراد زیادی اطلاعی از وجودش ندارند و بازدید نهایت دو الی سه بار در روز داشته باشه چه میزان احتمال اسنیف شدن داره؟
آیا لزوما افراد باید از وجود چنین سایتهایی که از ssl استفاده نمیکنن آگاهی داشته باشند یا اینکه نه میشه مثلا با استفاده از نرم افزاری اینگونه سایتها رو شناسایی کرد؟ و اطلاعات رد و بدل شده را شنود کرد.
ممنون از پاسخ شما
صحبت شما که در سیستمی که نیاز به احراز هویت داشته باشد در بستر اینترنت وجود ssl الزامی است کاملا بجا می باشد ولی اگر این نکته رو هم در نظر بگیریم که این سیستم رو کسی از وجودش اطلاعی نداره و تعداد افراد اندکی هم از اون استفاده میکنن باز امکان داره که مانند سایتهای پربازدید در معرض خطر باشد؟
Itpro یی عزیز به نطظر من سوال شما کمی توی خودش جواب را تحمیل میکند !! یعنی اینکه خب مسلما اگر بخواهیم اصولی و با رعایت جوانب امنیتی به این موضوع نگاه کنیم ، خب هر صفحه لاگینی که دسترسی در سطح اینترت داشته باشه برای رعایت بحث Security و Identity نیاز به استفاده از ساختار Https و SSL خواهد داشت ! خب حالا این مورد همانند این مثال است که همه ما میدانیم استفاده از کمربند ایمنی در خودرو ضروری و واجب است ، اما اگر بخواهید در پارکینگ خودرو خود را جابجا کنید هم ایا کمربند میبندید ؟ حالا اگر هوس کردیم یک دوری بیرون بزنید چطور ؟ البته فضای شما قطعا خارج پارکینگ هم هست ! یعنی شما دارید از بستر اینترت دسترسی به افراد میدهید تا به سیستم اداری شما متصل شوند ! پس اگر اصولی و با احتیاز برخورد کنیم قطعا داشتن SSL خیلی منطقی تر خواهد بود اما اگر با ساختار VPN و وجود حداقل فایروال های ممکن میتوانید سرویس خود را محدود کنید خب نبودن SSL هم امکان پذیر است .
ساختار SSL محتویات و اطلاعات داخل کانکشن رو رمزگذاری میکنه. حالا اگه این اطلاعات چقدر برای شما مهم هستش و لو رفتن اون ها دردسرساز میشه، استفاده از SSL واجبه . کلا صفحه لاگین ها رو با SSL امن میکنند. علاوه بر اون هر صفحه ای که به نحوی اطلاعات خاص و شخصی در اون رد و بدل میشه باید SSL داشته باشه.
استفاده از SSL باعث میشه که اطلاعات شما اگر در بین راه هم اسنیف شد، قابل فهم و مرزگشایی نباشه. از اونجایی که یکی از بزرگترین اهداف اسنیف کردن، بدست آوردن یوزرنیم و پسورد هستش، در غالب صفحات لاگین و فرم های ثبت نام و یا بانکی، دارای ssl هستند.
انتخاب و استفاده از SSL هم دسته بندی های مختلفی داره که در صورت لزوم توضیح داده میشه.
هکرها معمولا با استفاده از ابزار مختلف و بقول معروف crowler ها سایت های مختلف رو اسکن میکنند و اگه صفحه لاگین شما ssl نداشته باشه، در گزارش اسکن بوضوح به هکر اطلاع رسانی میشه که نقاط ضعف سایت شما کجاست.
از طرفی، با یه سرچ ساده هم میشه سایت هایی رو که صفحه لاگین دارند رو مورد جستجو قرار داد و بعد همونطور که در بالا گفتم از طریق اسکن اون ها نقاط ضعفشون رو پیدا کرد.