<![CDATA[Latest posts for the topic "Website công ty với HTTPS, nên hay không nên?"]]> /hvaonline/posts/list/8.html JForum - http://www.jforum.net Website công ty với HTTPS, nên hay không nên? http://www.techcombank.com.vn/ Được wwwect sang web chạy HTTPS, chứng thực mua của Verisign dạng EV. Theo các bác, có nên hay không nên áp dụng HTTPS với website giới thiệu công ty (em không nói Internet Banking). Xét khách quan theo khía cạnh tiện ích, kỹ thuật và bảo mật về việc đó, không phải có ý chê bai gì. Em thử điểm qua vài cái lợi và bất lợi, theo cá nhân em đánh giá: Lợi:
  1. Vào website của công ty sẽ thấy tên công ty hiện lên Address Bar nổi bật (nhờ cái EV Cert). Thông tin từ website gửi tới khách hàng sẽ được mã hóa, đảm bảo không ai nghe trộm (thông tin 1 công ty gửi cho tất cả mọi người thì chắc là không cần). Và thông tin truyền đảm bảo xác thực đúng là từ công ty, không ai trung gian có thể thay đổi được (có vẻ cái này thì có có ích).
Bất lợi:
  1. Web site chạy HTTPS sẽ tốn tiền, tốn máy móc hơn (Web Server phải mạnh hơn để xử lý SSL, phải tốn tiền mua Cert, EV Cert của Verisign cũng cỡ 2000$/năm, đủ tiền thuê 1 VPS/năm đấy). Các kỹ thuật tăng tốc web, ví dụ browser caching, proxy caching mất tác dụng, đồng nghĩa là vào web site sẽ luôn phải tải lại hết toàn bộ nội dung, chậm và tốn đường truyền hơn. Client (nhất là mobile client) truy cập SSL sẽ chậm và tốn ... pin hơn. Không giúp gì cho website (web server) bảo mật hơn, vẫn có thể dính các lỗi SQL Injection, buffer overflow... hay có khi rủi ro hơn vì module SSL dính lỗi. Vì SSL chạy chậm nên nếu bị DDOS chết sớm hơn so với HTTP là với cùng 1 tài nguyên máy chủ. Các giải pháp IPS/IDS dạng network (trừ khi tích hợp IPS/IDS + SSL Accelerator) nói chung là sẽ vô nghĩa.
Các bác có thêm ý kiến nào bổ sung không ạ. Em đang phải suy nghĩ về việc setup 1 web site có cái yêu cầu tương tự.]]>
/hvaonline/posts/list/40716.html#250651 /hvaonline/posts/list/40716.html#250651 GMT
Website công ty với HTTPS, nên hay không nên? /hvaonline/posts/list/40716.html#250654 /hvaonline/posts/list/40716.html#250654 GMT Website công ty với HTTPS, nên hay không nên? /hvaonline/posts/list/40716.html#250674 /hvaonline/posts/list/40716.html#250674 GMT Website công ty với HTTPS, nên hay không nên?

vikjava wrote:
@myquartz: có cái nghiên cứu thú vị nào về vụ tốn ...pin không bác :D  
Chắc là phải tốn thêm CPU cho việc mã hoá và giải mã nên hao pin hơn. ]]>
/hvaonline/posts/list/40716.html#250678 /hvaonline/posts/list/40716.html#250678 GMT
Website công ty với HTTPS, nên hay không nên? /hvaonline/posts/list/40716.html#250686 /hvaonline/posts/list/40716.html#250686 GMT Website công ty với HTTPS, nên hay không nên?

tanviet12 wrote:
Em nghĩ tuỳ theo đặt điểm của từng website. Nếu website cần bảo mật thông tin của người dùng (như thông tin đăng nhập, thông tin giao dịch...) thì dùng HTTPS, còn chỉ đăng tin tức bình thường thì dùng HTTP để có được những ưu điểm như anh đã nêu (tốc độ, chi phí...) 
Giả dụ không có các thông tin về credential, về transaction nhưng nếu có các thông báo quan trọng cần được đăng lên, chẳng hạn, như các chương trình khuyến mãi thì cũng cần có cách nào đó để user có thể tin cậy được rằng họ đang vào đúng website mong muốn (chứ không phải 1 trang giả mạo nào đó đăng lên một thông báo tào lao), lúc này HTTPS có thể giúp đảm bảo tính authenticity đó.]]>
/hvaonline/posts/list/40716.html#250687 /hvaonline/posts/list/40716.html#250687 GMT
Website công ty với HTTPS, nên hay không nên? /hvaonline/posts/list/40716.html#250718 /hvaonline/posts/list/40716.html#250718 GMT Website công ty với HTTPS, nên hay không nên? /hvaonline/posts/list/40716.html#250721 /hvaonline/posts/list/40716.html#250721 GMT Website công ty với HTTPS, nên hay không nên? /hvaonline/posts/list/40716.html#250766 /hvaonline/posts/list/40716.html#250766 GMT Website công ty với HTTPS, nên hay không nên?

vd_ wrote:
@conmale Chính xác là site chính lẫn site transaction đều cần phải bảo mật, nhưng cũng vì SSL đòi hỏi computation power cao hơn, và đảm bảo dữ liệu trên đường truyền không bị sniff (nếu customer thực sự có kiến thức) nên SSL sẽ được áp dụng cho những site cần bảo vệ thông tin hơn là sử dụng cho site chính. Lần thứ 2 anh conmale viết nhầm tên tui nhé, tui là vd_ , không phải là rd_  
Xin lỗi vd_, mắt tớ kèm nhèm nên nhìn chữ v sao đó lại ra chữ r ;). Trang tin tức hoặc giới thiệu công ty chẳng có gì cần bảo vệ không bị sniff hết. Việc áp dụng HTTPS trên site tin tức hoặc giới thiệu công ty của một ngân hàng ngoài chuyện bảo đảm site ấy là thứ thiêt chớ không phải đồ nhái, nó không còn giá trị và tác dụng nào khác. Ở khía cạnh bảo đảm site ấy là thứ thiệt, việc kiện toàn bảo mật toàn phần và đa tầng là việc cần thiết chớ không riêng gì việc áp dụng mỗi cái SSL certificate ấy.]]>
/hvaonline/posts/list/40716.html#250768 /hvaonline/posts/list/40716.html#250768 GMT
Website công ty với HTTPS, nên hay không nên? /hvaonline/posts/list/40716.html#250774 /hvaonline/posts/list/40716.html#250774 GMT Website công ty với HTTPS, nên hay không nên? /hvaonline/posts/list/40716.html#250948 /hvaonline/posts/list/40716.html#250948 GMT Website công ty với HTTPS, nên hay không nên?

LOFWI wrote:
Mình nghĩ cách của TCB đang triển khai không hữu hiệu cho tất cả các trang, nếu chỉ làm cho riêng trang ebanking thì ok, chứ mấy trang tin tức và info mà https thì vừa phí vừa nặng chịch nữa. Mình có triển khai cho 1 ngân hàng thử và thấy họ không xài mô hình cho toàn bộ 
Theo em đây là trả lời :) bên TCB em config vừa site chính vừa ebanking
Nếu bạn mua Verisign (Extend Validation chẳng hạn) thì bạn sẽ phải chứng minh với Verisign bạn đúng là Techcombank. Khi đó các customer của bạn khi visit site www.techcombank.com.vn sẽ thấy được Verisign xác nhận site www.techcombank.com.vn thuộc về Techcombank.  
]]>
/hvaonline/posts/list/40716.html#251002 /hvaonline/posts/list/40716.html#251002 GMT