fragen stichworte

http oder https zum Herunterladen von Dateien?

Ich werde eine Datei nach dem Kauf an die Leute verteilen. Ich versuche zu ermitteln, ob ich http oder https verwenden sollte, um die eigentliche Datei zu liefern.

  1. Mein Hosting-Plan ist "pay-as-you-go". Kostet Bandbreite mehr für https, da es verschlüsselt ist? Beispiel: Wird eine 100-MB-Datei mehr als 100 MB Bandbreite beanspruchen?

  2. Ich verstehe, dass http schneller ist, aber ist https ähnlich nach all dem anfänglichen Server-Handshake-Material? (Hinweis: Ich benutze CDN)

  3. Meine zum Herunterladen der Datei angegebene URL enthält eine Signatur usw., um sicherzustellen, dass nur die gekaufte Person herunterladen kann. Sollte ich https verwenden, um diese Signatur sicher zu halten?

  4. Wäre die übertragene Datei vor Hackern geschützt, wenn ich http verwenden würde?

Beachten Sie, ich habe diese Frage

bereits gelesen

antworten

My hosting plan is pay-as-you-go. Will bandwidth cost more for https since it's encrypted? Example: will a 100MB file end up using more than 100MB of bandwidth?

Nein. Die Block- oder Stream-Verschlüsselungen, die SSL/TLS zum Verschlüsseln der übertragenen Daten verwendet, fügen der Übertragungsgröße der Datei höchstens eine Handvoll Bytes hinzu.

I understand that http is faster, but is https similar in speed after all the initial server handshake stuff? (note: I am using CDN)

Ja. Die Verschlüsselung erfordert zusätzliche CPU-Zeit auf dem Server und auf dem Client. Bei modernen CPUs ist die Auswirkung jedoch recht gering. Solange Client und Server nicht an die CPU gebunden sind, ist die verschlüsselte Übertragung ungefähr so ​​schnell wie unverschlüsselt.

My URL given to download the file will contain a signature, etc. to verify that only the person who purchased can download. Should I use https to keep this signature secure?

Ja, die besuchte URL ist durch SSL/TLS durchgängig vom Client zum Server gesichert. Die Ausnahme ist, dass der Hostname-Teil der URL nicht unbedingt sicher ist, dies sollte jedoch in Ihrem Fall nicht der Fall sein ein Problem sein Solange das Client-System nicht gefährdet ist oder einen schädlichen Proxyserver verwendet, sind die Daten bei der Übertragung sicher.

If I were to use http, would the file transferred be secured from hackers?

Nein. Der HTTP-Verkehr ist vollständig frei. Jeder, der sich im selben Netzwerksegment wie der Client befindet, der die Datei (oder dasselbe Coffeeshop-WLAN) herunterlädt, sowie alle Personen, die Zugriff auf die Netzwerkinfrastruktur zwischen Client und Server haben, können die vollständige Anforderung und die vollständige Antwort sehen. SSL bietet dem Client außerdem die zusätzliche Sicherheit, dass das System, mit dem sie sich verbinden, das ist, was es sagt, und nicht der Server eines potenziellen Angreifers. Wenn die im Download übertragenen Daten oder die URL zum Anfordern des Downloads vertraulich sind, verschlüsseln Sie sie.

Wird die Datei also auf einer generischen Site gespeichert, wo diese indiziert wurde, oder werden Sie eine Art Auto-URL-Generator verwenden, um die Datei zu veröffentlichen? Ist die Datei anonym verfügbar oder müssen sie Anmeldeinformationen bereitstellen?

Ich würde sagen, wenn Sie sich nicht sicher sind, gehen Sie mit SSL auf die sichere Seite, verstehen Sie aber, was SSLs Hauptzweck ist. Es ist die Unterhaltung zu verschlüsseln (dh den Übertragungsvorgang). Wenn Sie sich also beim Benutzer anmelden, um diese Datei herunterzuladen, möchten Sie SSL, damit die Anmeldeinformationen sicher sind. Wenn Sie über eine Datei mit vertraulichen Informationen verfügen, verwenden Sie SSL, um sie während der Übertragung zu schützen. Wenn Sie nicht über ein Login für diese Datei verfügen, auch wenn Sie über SSL verfügen, und wenn jemand die URL herausfindet, kann er sie ohne Probleme herunterladen.

Ja, SSL schützt Ihre Daten vor dem Abfangen von Hackern, aber nichts ist 100% sicher.

  1. Ja ... Die Verschlüsselung fügt etwas Overhead hinzu ..., aber normalerweise sehr gering.
  2. HTTP ist schneller, da der anfängliche Handshake nicht ausgeführt werden muss. Aber danach ... ist die Verbindung bereits hergestellt, sodass die Latenz gleich ist. (minus der Zeit für die Verschlüsselung/Entschlüsselung, die minimal ist)
  3. Nicht sicher, was Sie hier 100% meinen ... Wenn Sie meinen, Sie geben den Benutzern eine eindeutige URL zum Herunterladen der Datei ... Jeder hat sie in kurzer Zeit. Wenn Sie einfach versuchen, die Adresse Ihrer Datei zu verbergen, wird nichts verdeckt. Wenn Sie für jeden Benutzer einen eindeutigen Benutzernamen/ein Kennwort bedeuten, ist dies wahrscheinlich eine gute Idee. Wenn Sie HTTPS verwenden möchten, ist es eine gute Idee, die gesamte Transaktion über HTTPS abzuschließen, es sei denn, Sie haben ein bestimmtes Bedürfnis.
  4. HTTP wird im Klartext gesendet. Nichts kann das sicher machen. Jeder in der Mitte kann vollen Zugriff auf Ihre Datei haben. HTTPS kann dies VIEL sicherer machen, wenn es richtig gemacht wird.

Ich hasse es wirklich, dies zu sagen, aber Sie klingen wirklich so, als hätten Sie keine Ahnung, was Sie tun ... Sie sollten wirklich einen Berater oder eine Entwicklungsfirma beauftragen, um das, was Sie tun, umzusetzen.