Website công ty với HTTPS, nên hay không nên?

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Website công ty với HTTPS, nên hay không nên?

[Discussion] Website công ty với HTTPS, nên hay không nên?	04/12/2011 14:49:36 (+0700) \| #1 \| 250651

myquartz
Member

Joined: 04/01/2005 04:58:30
Messages: 563
Offline

Em vốn là người hay nhìn và rút ra nhận xét 1 sự việc, sự vật nào đó.

Nhân rảnh rỗi đi dạo Internet, thấy website của ngân hàng Techcombank: http://www.techcombank.com.vn/
Được wwwect sang web chạy HTTPS, chứng thực mua của Verisign dạng EV.

Theo các bác, có nên hay không nên áp dụng HTTPS với website giới thiệu công ty (em không nói Internet Banking). Xét khách quan theo khía cạnh tiện ích, kỹ thuật và bảo mật về việc đó, không phải có ý chê bai gì.

Em thử điểm qua vài cái lợi và bất lợi, theo cá nhân em đánh giá:
Lợi:

Vào website của công ty sẽ thấy tên công ty hiện lên Address Bar nổi bật (nhờ cái EV Cert).
Thông tin từ website gửi tới khách hàng sẽ được mã hóa, đảm bảo không ai nghe trộm (thông tin 1 công ty gửi cho tất cả mọi người thì chắc là không cần). Và thông tin truyền đảm bảo xác thực đúng là từ công ty, không ai trung gian có thể thay đổi được (có vẻ cái này thì có có ích).

Bất lợi:

Web site chạy HTTPS sẽ tốn tiền, tốn máy móc hơn (Web Server phải mạnh hơn để xử lý SSL, phải tốn tiền mua Cert, EV Cert của Verisign cũng cỡ 2000$/năm, đủ tiền thuê 1 VPS/năm đấy).
Các kỹ thuật tăng tốc web, ví dụ browser caching, proxy caching mất tác dụng, đồng nghĩa là vào web site sẽ luôn phải tải lại hết toàn bộ nội dung, chậm và tốn đường truyền hơn.
Client (nhất là mobile client) truy cập SSL sẽ chậm và tốn ... pin hơn.
Không giúp gì cho website (web server) bảo mật hơn, vẫn có thể dính các lỗi SQL Injection, buffer overflow... hay có khi rủi ro hơn vì module SSL dính lỗi.
Vì SSL chạy chậm nên nếu bị DDOS chết sớm hơn so với HTTP là với cùng 1 tài nguyên máy chủ.
Các giải pháp IPS/IDS dạng network (trừ khi tích hợp IPS/IDS + SSL Accelerator) nói chung là sẽ vô nghĩa.

Các bác có thêm ý kiến nào bổ sung không ạ. Em đang phải suy nghĩ về việc setup 1 web site có cái yêu cầu tương tự.

[Discussion] Website công ty với HTTPS, nên hay không nên?	04/12/2011 16:56:18 (+0700) \| #2 \| 250654

tanviet12
Member

Joined: 10/05/2010 12:15:15
Messages: 138
Location: TP - HCM
Offline

Em nghĩ tuỳ theo đặt điểm của từng website.
Nếu website cần bảo mật thông tin của người dùng (như thông tin đăng nhập, thông tin giao dịch...) thì dùng HTTPS, còn chỉ đăng tin tức bình thường thì dùng HTTP để có được những ưu điểm như anh đã nêu (tốc độ, chi phí...)

BTV
fb.com/buitanviet

[Discussion] Website công ty với HTTPS, nên hay không nên?	05/12/2011 09:52:24 (+0700) \| #3 \| 250674

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

Có lẽ do trước đây techcombank có "vết" nên khi làm lại các bác đầu tư luôn một thể

Xét về mặt tâm lý người dùng, hoạt động PR thì dùng https cũng có cái lợi. smilie

. Khách hàng sẽ thấy sự khác biệt so với các ngân hàng khác ....

@myquartz: có cái nghiên cứu thú vị nào về vụ tốn ...pin không bác smilie

[Discussion] Website công ty với HTTPS, nên hay không nên?	05/12/2011 12:24:27 (+0700) \| #4 \| 250678

Cuc.Sat
Member

Joined: 29/08/2011 04:32:50
Messages: 52
Offline

vikjava wrote:

@myquartz: có cái nghiên cứu thú vị nào về vụ tốn ...pin không bác

Chắc là phải tốn thêm CPU cho việc mã hoá và giải mã nên hao pin hơn.

[Discussion] Website công ty với HTTPS, nên hay không nên?	05/12/2011 13:34:11 (+0700) \| #5 \| 250686

vd_
Member

Joined: 06/03/2010 03:05:09
Messages: 124
Offline

@myquartz
SSL ngoài việc encrypt còn có ý nghĩa authen, ví dụ làm sao bạn biết www.techcombank.com.vn là thuộc về Techcombank smilie

Nếu bạn mua Verisign (Extend Validation chẳng hạn) thì bạn sẽ phải chứng minh với Verisign bạn đúng là Techcombank. Khi đó các customer của bạn khi visit site www.techcombank.com.vn sẽ thấy được Verisign xác nhận site www.techcombank.com.vn thuộc về Techcombank.

SSL còn giúp tránh bị sniff, tuy nhiên nếu customer không kiểm tra kỹ và không quan tâm đến các thông báo của browser thì cũng dính fake cert như thường.

[Discussion] Website công ty với HTTPS, nên hay không nên?	05/12/2011 14:02:15 (+0700) \| #6 \| 250687

manthang
Journalist

Joined: 30/06/2008 16:36:58
Messages: 140
Offline

tanviet12 wrote:

Em nghĩ tuỳ theo đặt điểm của từng website.
Nếu website cần bảo mật thông tin của người dùng (như thông tin đăng nhập, thông tin giao dịch...) thì dùng HTTPS, còn chỉ đăng tin tức bình thường thì dùng HTTP để có được những ưu điểm như anh đã nêu (tốc độ, chi phí...)

Giả dụ không có các thông tin về credential, về transaction nhưng nếu có các thông báo quan trọng cần được đăng lên, chẳng hạn, như các chương trình khuyến mãi thì cũng cần có cách nào đó để user có thể tin cậy được rằng họ đang vào đúng website mong muốn (chứ không phải 1 trang giả mạo nào đó đăng lên một thông báo tào lao), lúc này HTTPS có thể giúp đảm bảo tính authenticity đó.

keep -security- in -mind-

[Discussion] Website công ty với HTTPS, nên hay không nên?	06/12/2011 05:57:50 (+0700) \| #7 \| 250718

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Ý kiến của rd_ thuyết phục nhất. Chỉ có điều, trên 1 trang tổng quát giới thiệu công ty thật ra không cần thiết phải HTTPS và có giá trị xác thực bởi vì xét về góc độ bảo mật, một trang giới thiệu công ty cũng cần phải bảo mật như một trang có đụng chạm đến transactions. Nói một cách khác, công ty phải bảo đảm bảo mật rằng cơ hội bị deface hoặc giả mạo không thể xảy ra.

What bringing us together is stronger than what pulling us apart.

[Discussion] Website công ty với HTTPS, nên hay không nên?	06/12/2011 08:55:06 (+0700) \| #8 \| 250721

vd_
Member

Joined: 06/03/2010 03:05:09
Messages: 124
Offline

@conmale

Chính xác là site chính lẫn site transaction đều cần phải bảo mật, nhưng cũng vì SSL đòi hỏi computation power cao hơn, và đảm bảo dữ liệu trên đường truyền không bị sniff (nếu customer thực sự có kiến thức) nên SSL sẽ được áp dụng cho những site cần bảo vệ thông tin hơn là sử dụng cho site chính.

Lần thứ 2 anh conmale viết nhầm tên tui nhé, tui là vd_ , không phải là rd_

[Discussion] Website công ty với HTTPS, nên hay không nên?	07/12/2011 00:40:06 (+0700) \| #9 \| 250766

myquartz
Member

Joined: 04/01/2005 04:58:30
Messages: 563
Offline

Tớ không rõ lý do tại sao Techcombank lại dùng HTTPS cho trang tin tức, giới thiệu công ty của họ.

Nhưng suy luận thì tớ thấy Techcombank hơi lạ (thế mới đáng suy nghĩ và thảo luận). Tớ thấy top các công ty nổi tiếng trong làng công nghệ (nơi hiểu công nghệ), như Microsoft, Google, Yahoo, Apple, ... lẫn 10 ngân hàng nước ngoài (tương tự Tech) từ Citibank, Standard Charter,... đều không áp dụng HTTPS cho web site giới thiệu về họ. Phải chăng lợi ích Marketing (nghĩa là sự giới thiệu công ty đến với nhiều người nhanh hơn, nhiều hơn với chi phí rẻ hơn) lớn hơn cái sự xác thực cái web site (web server) đó đúng là của ... công ty đó.
Trừ có Paypal, công ty thanh toán trực tuyến, liên quan đến transaction rất nhiều, trang đầu tiên vào đó là HTTPS. Nhưng công ty mẹ của nó, eBay, thì không.

[Discussion] Website công ty với HTTPS, nên hay không nên?	07/12/2011 04:55:17 (+0700) \| #10 \| 250768

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

vd_ wrote:

@conmale

Chính xác là site chính lẫn site transaction đều cần phải bảo mật, nhưng cũng vì SSL đòi hỏi computation power cao hơn, và đảm bảo dữ liệu trên đường truyền không bị sniff (nếu customer thực sự có kiến thức) nên SSL sẽ được áp dụng cho những site cần bảo vệ thông tin hơn là sử dụng cho site chính.

Lần thứ 2 anh conmale viết nhầm tên tui nhé, tui là vd_ , không phải là rd_

Xin lỗi vd_, mắt tớ kèm nhèm nên nhìn chữ v sao đó lại ra chữ r smilie

.

Trang tin tức hoặc giới thiệu công ty chẳng có gì cần bảo vệ không bị sniff hết. Việc áp dụng HTTPS trên site tin tức hoặc giới thiệu công ty của một ngân hàng ngoài chuyện bảo đảm site ấy là thứ thiêt chớ không phải đồ nhái, nó không còn giá trị và tác dụng nào khác. Ở khía cạnh bảo đảm site ấy là thứ thiệt, việc kiện toàn bảo mật toàn phần và đa tầng là việc cần thiết chớ không riêng gì việc áp dụng mỗi cái SSL certificate ấy.

What bringing us together is stronger than what pulling us apart.

[Discussion] Website công ty với HTTPS, nên hay không nên?	07/12/2011 09:02:23 (+0700) \| #11 \| 250774

vd_
Member

Joined: 06/03/2010 03:05:09
Messages: 124
Offline

@conmale

Off topic tí xíu, không rõ anh conmale có "cố ý" nhầm vd_ với rd hay không? Hồi xưa IRC vietlug có rd (phải chăng là reddragonvn ?) rd nếu không lầm thì đã là giỏi lắm rồi, vd_ chì xách dép ngồi học hỏi các anh thôi.

[Discussion] Website công ty với HTTPS, nên hay không nên?	10/12/2011 17:20:28 (+0700) \| #12 \| 250948

LOFWI
Member

Joined: 10/12/2011 00:05:43
Messages: 3
Offline

Mình nghĩ cách của TCB đang triển khai không hữu hiệu cho tất cả các trang, nếu chỉ làm cho riêng trang ebanking thì ok, chứ mấy trang tin tức và info mà https thì vừa phí vừa nặng chịch nữa. Mình có triển khai cho 1 ngân hàng thử và thấy họ không xài mô hình cho toàn bộ

[Discussion] Website công ty với HTTPS, nên hay không nên?	12/12/2011 10:09:49 (+0700) \| #13 \| 251002

phonghp
Member

Joined: 26/11/2008 19:12:51
Messages: 25
Offline

LOFWI wrote:

Mình nghĩ cách của TCB đang triển khai không hữu hiệu cho tất cả các trang, nếu chỉ làm cho riêng trang ebanking thì ok, chứ mấy trang tin tức và info mà https thì vừa phí vừa nặng chịch nữa. Mình có triển khai cho 1 ngân hàng thử và thấy họ không xài mô hình cho toàn bộ

Theo em đây là trả lời smilie

bên TCB em config vừa site chính vừa ebanking

Nếu bạn mua Verisign (Extend Validation chẳng hạn) thì bạn sẽ phải chứng minh với Verisign bạn đúng là Techcombank. Khi đó các customer của bạn khi visit site www.techcombank.com.vn sẽ thấy được Verisign xác nhận site www.techcombank.com.vn thuộc về Techcombank.

Go to:

Users currently in here
1 Anonymous