是否有必要對服務器端請求使用HTTPS？

Question

我允許用戶使用第三方憑據登錄我的網站（我們稱之爲SocialFoo）。用戶通過HTTPS上的POST提交SocialFoo的用戶名和密碼。 POST完成後，在服務器端，我通過API調用SocialFoo驗證憑據。

是否有任何安全利益通過HTTPS使得API調用SocialFoo而不是HTTP？由於該請求在理論上不會暴露給用戶，因此數據中心的數據包監聽器之外是否存在安全風險？

Answer 1

是

有總是有如果沒有安全地傳輸信息被盜的風險。作爲一般的經驗法則，任何和所有敏感的數據進出應該被加密。這不僅是使用HTTPS的「安全優勢」，而且也是一項要求。

Answer 2

通常，在您的會話處於活動狀態時的列表中，每個請求都會將一些身份驗證令牌傳輸到服務器。爲了防止此令牌在穿越網絡時被捕獲和篡改，請確保您在需要驗證訪問權限的所有頁面上使用SSL。

Answer 3

我會說你的具體問題的答案是否定的。 SSL加密用於在網絡上傳輸時保護網絡流量。如果兩臺服務器都在同一個本地網絡上，並且該網絡位於單個數據中心內，那麼使用ssl的唯一原因就是防止該數據中心內的網絡受到威脅。 另一個問題是，如果不保護本地網絡上的威脅，這是否是一種很好的安全措施。

Answer 4

有任何人嗅你和遠程主機之間的通信的任何風險不是真正的一邊。當使用正確時，SSL可以保護您免受這種情況的侵害。當只有觀察和認證可以讓你知道它很可能沒有被篡改時，加密功能可以防止你的數據被理解。

您在數據中心有關嗅探器的具體問題... 如果兩臺主機位於同一個交換機下的數據中心，那麼您可能沒有問題。 如果不是，那麼您需要詢問兩臺交換機之間的VLAN橋接問題，假設您爲兩臺主機租用了兩臺交換機。

如果你的數據中心不會讓你剛起來，彌合兩個，那麼你將要使用SSL或任何其他很好用的方案。如果你想看看在你的交換機下（或者甚至有時候）查看流量有多容易，只需運行tcpdump（Linux）或Wireshark（Windows）。

只是安全起見，請使用SSL。現在的性能並沒有真正的問題，除非您使用16384位密鑰，運行您自己的CA並進行實時CRL檢查，並且每秒需要超過1,000個連接。或者，您使用的是舊硬件......在這種情況下，至少使用2048位密鑰。

也根據你的業務或你傳輸的內容，它可能需要爲你的國家法規，以確保數據或者至少可以在保持某種保密或驗證合理的嘗試。

的補充說明：您剛纔提到，因爲請求不會暴露給用戶，你可能不需要SSL。 SSL保護用戶的數據。它不會做任何事情來阻止用戶對協議進行逆向工程，在數據傳輸之前篡改數據或者類似的東西。我可能會誤解你的觀點，但我想我會把它扔到那裏。