http ou https para download de arquivo?

1

Vou distribuir um arquivo para as pessoas depois que elas forem compradas. Estou tentando determinar se devo usar http ou https para entregar o arquivo real.

  1. Meu plano de hospedagem é pago conforme o uso. A largura de banda custará mais por https, já que é criptografada? Exemplo: um arquivo de 100MB terminará usando mais de 100MB de largura de banda?

  2. Eu entendo que o http é mais rápido, mas é https similar em velocidade depois de todo o material inicial do handshake do servidor? (nota: eu estou usando o CDN)

  3. Meu URL indicado para fazer o download do arquivo conterá uma assinatura, etc., para confirmar que somente a pessoa que comprou pode fazer o download. Devo usar https para manter esta assinatura segura?

  4. Se eu usasse o http, o arquivo transferido seria protegido contra hackers?

Observação: eu já li esta pergunta

    
por Hope4You 05.01.2012 / 18:48

3 respostas

4

My hosting plan is pay-as-you-go. Will bandwidth cost more for https since it's encrypted? Example: will a 100MB file end up using more than 100MB of bandwidth?

Não. As cifras de bloco ou fluxo que são usadas pelo SSL / TLS para criptografar os dados em trânsito adicionarão, no máximo, um punhado de bytes ao tamanho de transferência do arquivo.

I understand that http is faster, but is https similar in speed after all the initial server handshake stuff? (note: I am using CDN)

Sim. A criptografia exige um tempo extra de CPU no servidor e no cliente, mas em CPUs modernas o impacto é bastante baixo. Desde que o seu cliente e servidor não estejam ligados à CPU, a transferência criptografada terá praticamente a mesma velocidade que a não criptografada.

My URL given to download the file will contain a signature, etc. to verify that only the person who purchased can download. Should I use https to keep this signature secure?

Sim, o URL que está sendo visitado é protegido de ponta a ponta do cliente para o servidor por SSL / TLS - a exceção aqui é que a parte do nome do host do URL não é necessariamente segura, mas no seu caso isso não deve ser um problema. Desde que o sistema cliente não seja comprometido ou que esteja usando um servidor proxy mal-intencionado, os dados estarão seguros em trânsito.

If I were to use http, would the file transferred be secured from hackers?

Não. O tráfego HTTP está completamente desobstruído; qualquer pessoa no mesmo segmento de rede que o cliente baixando o arquivo (ou o mesmo café wifi), assim como qualquer pessoa com acesso a qualquer infraestrutura de rede entre o cliente e o servidor é capaz de ver a solicitação completa e a resposta completa. O SSL também fornece garantia adicional ao cliente de que o sistema ao qual ele está se conectando é o que diz ser, em vez de um servidor em potencial do invasor. Se os dados que estão sendo transferidos no download ou a URL para solicitar o download forem confidenciais, criptografe-os.

    
por 05.01.2012 / 19:00
1

O arquivo será armazenado em um site genérico em algum lugar onde isso é indexado ou você usará algum tipo de gerador de URL automático para postar o arquivo? O arquivo será acessado anonimamente, ou eles terão que fornecer credenciais?

Eu diria que, se você não tiver certeza, use o SSL para estar no lado seguro, mas entenda qual é o objetivo principal do SSL. É para criptografar a conversa (ou seja, o processo de transferência). Então, se você tivesse o usuário fazendo o login para baixar esse arquivo, você iria querer SSL, então suas credenciais de login são seguras. Se você tiver um arquivo que contenha informações confidenciais, use o SSL para protegê-lo durante a transferência. Se você não tiver um login para esse arquivo, mesmo se você tiver SSL para ele, se alguém selecionar o URL, ele poderá fazer o download sem problemas.

E sim, o SSL protege seus dados de serem interceptados por hackers, mas nada é 100% seguro.

    
por 05.01.2012 / 19:01
0
  1. Sim ... a criptografia adiciona alguma sobrecarga ... mas geralmente é mínima.
  2. O HTTP é mais rápido, pois não precisa fazer o handshake inicial ... mas depois disso ... a conexão já está estabelecida, então a latência é a mesma. (menos o tempo de criptografia / descriptografia que é mínimo)
  3. Não tenho certeza do que você quer dizer aqui 100% ... Se você quer dizer que vai dar aos usuários uma URL única para baixar o arquivo ... todos terão um curto período de tempo. Simplesmente tentando esconder o endereço do seu arquivo não irá esconder nada. Se você quer dizer nome de usuário / senha exclusivos para cada usuário ... provavelmente é uma boa ideia. Se você for usar HTTPS ... é uma boa ideia completar a transação inteira por meio de https, a menos que você tenha alguma necessidade específica de não fazer isso.
  4. O HTTP é enviado em texto não criptografado. Nada pode tornar isso seguro. Qualquer pessoa no meio pode ter acesso total ao seu arquivo. O HTTPS pode tornar isso MUITO mais seguro ... se for feito corretamente.

Eu realmente odeio dizer isso, mas você realmente parece não ter ideia do que está fazendo ... Você deve contratar um consultor ou uma empresa de desenvolvimento para implementar o que está fazendo.

    
por 05.01.2012 / 19:03

Tags