Warum SSL nur bei Login Seiten? zB Computerbase

[Sneazel]

Hey,
wollte mal wissen warum viele Websites SSL nur auf Loginseiten aktiviert haben
Auch CB hat SSL nur bei der Login/Logout Seite aktiviert.
Auch Amazon aktiviert SSL nur wenn man im Benutzerkonto ist.

Bringt es keinen Vorteil auf jeder Seite SSL aktiviert zu haben?
Bzw bringt es sogar Nachteile?
Ist es nicht möglich, wenn danach kein SSL weiter benutzt wird, durch Tools wie FireSheep, Cain&Able oder so die Session zu "klauen"?

 

[HominiLupus]

SSL kostet (viel) CPU Zeit. Loginseiten werden verschlüsselt damit die Passworte nicht ungeschützt übertragen werden.
Die Sessioninformationen sind dann weniger wichtig und deshalb ungeschützt. Allerdings kann dann trotzdem jeder Hop von Browser zu Server die Session übernehmen. Dinge wo direkt Geld im Spiel ist, also Seiten für Banküberweisungen, Warenkörbe wo man auf "jetzt bestellen" klickt sollten aber weiterhin via HTTPS übertragen werden.

 

[Yuuri]

SSL kostet (viel) CPU Zeit.

Quark.

In January this year (2010), Gmail switched to using HTTPS for everything by default. Previously it had been introduced as an option, but now all of our users use HTTPS to secure their email between their browsers and Google, all the time. In order to do this we had to deploy no additional machines and no special hardware. On our production frontend machines, SSL/TLS accounts for less than 1% of the CPU load, less than 10KB of memory per connection and less than 2% of network overhead. Many people believe that SSL takes a lot of CPU time and we hope the above numbers (public for the first time) will help to dispel that.

 

[Piktogramm]

Naja Yuuri, die Aussage von Google sollte man ergänzen: Wenn man das Know hat und alles richtig macht ist die Mehrbelastung durch Verschlüsselung meist verkraftbar. Im Endeffekt sind es aber Kosten. Entweder weil die Implementierung einer resourcensparenden Möglichkeit aufwendig/teuer ist oder aber die Implementierung Resourcen frisst.

Man sollte auch sehen, dass Google auf den "eigenen" Leitungen auch sehr lang auf Verschlüsselung verzichtet hat und erst ganz erschrocken getan hat um Verschlüsselung zwischen den eigenen Rechenzentren zu aktivieren. Wahrscheinlich eben weil die Verschlüsselung eben doch zusätzlich Last erzeugt die man gern sparen wollte...

Wobei die Kosten oftmals nicht im Verhältnis dazu stehen was an Schaden daraus resultiert. Mangelhafte Verschlüsselung hält nur extrem wenige Kunden ab (und diese Kunden will man eh nicht, da sie viel zu kritisch sind) und der PR Schaden ist anscheinend mega gering, wenn mal eben Millionen Kundendaten abgegriffen werden (anders kann man sich nicht erklären wie zum Beispiel Sony immer wieder erfolgreich angegriffen werden kann)

 

[Daaron]

Man sollte dazu auch bedenken: Google verwenden nicht einfach nur HTTPS, sondern nach Möglichkeit ihr eigenes Protokoll, SPDY. Der Einsatz von SPDY entlastet sowohl Client als auch Server wiederum, aber nicht jeder Server-Admin kann oder will bereits auf SPDY setzen. Ich habs mal ausprobiert, danach ging erst mal gar nix mehr.

Außerdem muss man immer überlegen, wo Verschlüsselung tatsächlich wichtig ist.

Ist es verschlüsselungswürdig, was du hier in die Forenbox schreibst? Das Ergebnis ist eh öffentlich. Sind die Foren-PMs verschlüsselungswürdig? Evtl, aber würde nix bringen, da sie entschlüsselt auf dem Server ind er Datenbank herumoxidieren.

Ist es verschlüsselungswürdig, welche Waren du in den Warenkorb legst und wieder entfernst? Oder willst du nicht viel lieber, dass vor allem deine Adress- und Kontodaten verschlüsselt werden?

 

[Sneazel]

Dass die Texteingaben oder ähnliches nicht verschlüsselt werden ist mir recht egal.

Aber es geht halt ums Session übernehmen.
Das ist doch ohne SSL die ganze Zeit möglich?

 

[::.KS.::]

Es spricht vieles für eine standardmäßige Verschüsselung von CB,
denn je mehr Internettraffic verschlüsselt abläuft umso teurer und unattraktiver wird es
den ganzen Traffic abzuschnorcheln, außerdem wird es schwieriger in der Masse an HTTPS Verbindungen
die uns wirklich wichtigen privaten Sachen herauszufiltern.

Vielleicht liest ja ein zuständiger mit, ich würde das jedenfalls sofort Flattrn

 

[Daaron]

Aber es geht halt ums Session übernehmen.
Das ist doch ohne SSL die ganze Zeit möglich?

Und der entstandene Schaden, jetzt am Beispiel von CB, ist welcher? Jemand postet in deinem Namen oder löscht deinen Account... nichts, was wirklich viel Schaden anrichtet.

Es spricht vieles für eine standardmäßige Verschüsselung von CB

Was denn genau?
Du erzeugst mit HTTPS nur einen Haufen Last, aber ich sehe partout keine Vorteile. Warum sollte man bei CB irgend welche Verbindungen "abschnorcheln", wenn es wahrscheinlich viel einfacher ist, über Sicherheitslücken von vBulletin direkt in den Server einzudringen? Außerdem: da in einem Forum eh wohl 99,9% der Daten öffentlich sind... was willst du da verschlüsseln, nur um des Verschlüsselns willen?

 

[Piktogramm]

@Daaron: Verschlüsselte Verbindungen erschwerden auch den Angriff auf Nutzer und was hier schon geschrieben wurde, eine massive Zunahme von Verschlüsselten Verbindungen würde es div. Organisationen ihre Arbeit erschweren.

 

[Daaron]

Gleichzeitig erschwerst du aber auch den Dienstanbietern die Arbeit. Nochmal: Die Zahlen von Google sind mit äußerster Vorsicht zu genießen.
http://serverfault.com/questions/43...-hit-for-https-vs-http-for-apache/43835#43835 <- das hier spricht ne ganz andere Sprache. Wie ich schon sagte: SPDY hat auch einen großen Einfluss.

 

[Sneazel]

es geht ja nicht um den Schaden bei CB
Sondern um andere Seiten wie zB Amazon
Erst loggt man sich ein, weil man was nachgucken will
Dann stöbert man (ohne SSL) durch Amazon und auf einmal hat irgendwer deine Session übernommen und irwas auf deinen Namen bestellt.

Ja ich weiß man kann stonieren, bekommt Email usw.
Auch bei vielen anderen Seiten gibt es kein SSL oder nur für Login Felder