Sicherungsteile einer HTTP-Anforderung?

Question

Wie geht ein über Teile eines HTTP-Requests zu sichern, sagen ihre Session-ID? Ich weiß, dass Sie HTTPS verwenden können, aber dann Ihre Server müssen alle von der Anforderung entschlüsseln. Wäre es nicht ideal sein, nur die benötigten Teile einer Anforderung zu verschlüsseln?

Gibt es Rahmenbedingungen und Ressourcen darauf hin, dass die Ihnen erlauben, oder informieren Sie, wie dies zu tun?

Answer 1

HTTPS ist das richtige Werkzeug zu verwenden. Die Rechenlast, die Pakete zu entschlüsseln ist sehr gering. Google geändert HTTPS standardmäßig für das gesamte GMail früher in diesem Jahr, und sie berichten, dass die CPU-Last auf ihren Servern für SSL-Verschlüsselung / Entschlüsselung ist um 1%.

Wenn Sie nur verschlüsseln Teil des Stroms, dann haben Sie immer noch das Problem des Menschen-in-the-Middle-Angriffe und wiederzugeben. SSL ist die einzige Möglichkeit, diese zu verhindern. Dabei spielt es keine Rolle, ob die Session-ID verschlüsselt ist. Wenn ein Mann-in-the-middle es erfassen kann, kann er es wieder verwendet darin Form verschlüsselt ist und der Server würde den Unterschied nicht kennen.

Hier ist ein Blog-Post über Googles Erfahrung seit der GMail Umstellung auf 100% SSL.

Answer 2

HTTPS ist alles oder nichts. Wenn nicht alle Elemente auf einer Seite mit HTTPS gesichert dann Benutzer in die Regel erhalten eine „kaputte Schloss“ in der oberen linken Ecke bekommen. Dies liegt daran, ein Angreifer diese verwenden könnte einen Angriff ähnlich wie xss und erhält den document.cookie Wert zu injizieren.

Weitere mehr, wenn ein Antrag mit einer Session-ID gesendet wird, dann kann ein Angreifer den Wert und beglaubigen, wie Sie erhalten.