https vore trevligt
Halloj!
Min första post
Jag tänkte bara lägga in önskemål om https på den här sidan. Gjorde ett par sökningar innan men det verkar inte vara någon som tagit upp ämnet.
telnet> open www.fz.se 443
Trying 81.201.217.110...
^C
Jag jobbar på en arbetsplats där trafiken synas. Vad man surfar på, vad som kommuniceras mot vem etc. Så för mig så är det förstås intressant att logga in först när en https tunnel etableras. Det är en sak att dom vet vad jag surfar på, en helt annan om de vet vem jag är på en webbsida.. eller exakt vad jag skickar för data. Tror inte det är någon som kommer kapa mitt fz.se-konto direkt, men det borde vara standard för en webbsida som har login att ha https-stöd efter login. Certifikaten är inte så himla dyra nuförtiden. Jag tror vi pyntar ungefär 2-5k per år för våra och då är de EV (dyraste) varianten. Det gäller bara att ducka för leverantörer som t.ex symantec.
Prestandan gör man inte heller avkall på. Det är först när tunneln etableras som det blir lite fördröjning på några millsekunder extra. Annars är https i regel lika snabbt om man gör rätt.
Nackdelen som webbsideadministratör? Kan bli krångligt i lastbalanserare och sånt. Men jag förlitar mig på att fz kan det där med data!
Låter det som en bra idé?
Här finns en förklaring till varför alla inte använder HTTPS ännu.
http://arstechnica.com/business/2011/03/https-is-more-secure-...
Här finns en förklaring till varför alla inte använder HTTPS ännu.
http://arstechnica.com/business/2011/03/https-is-more-secure-...
Kostnaden är negligerbar. Eftersom jag själv är admin för en website som erbjuder båda alternativen så kan jag intyga för det. Mestadelen av kostnaden är att man lägger ned arbetstid och eventuellt kompetensutveckling för de som behöver. Har man jobbat med certifikat förut tenderar det att bli en ganska liten overhead dock.
Sen cachen är ju en annan sak. Jag vet inte vad fz skulle vilja cacha vilket gör att jag inte riktigt kan debattera den frågan på ett vettigt sätt. Det är nog en fråga för fz-anställda. Men om det vore ett hinder så skulle det förstås vara intressant om de förklarade varför.
Ett problem som jag däremot kan föreställa mig är om de kör ett cms som inte erbjuder dynamiska länkar beroende på anropad host. Dvs man går in på https-sidan men helt plötsligt är det länkat till en http-bild. Då kommer din browser att varna användaren om en mixad sida. Sånt är oönskat eftersom man inte kan räkna med att användare kan tolka meddelandet.
Monark: hej och välkommen till FZ!
Jag ska be våra tekniker ta en titt på ditt förslag och svara om det är görbart. Men, min känsla är att det låter som mycket jobb för något som ett ganska litet antal besökare har nytta av. Vidare "cacheas" en hel del material, så jag är inte säker på att det är tekniskt genomförbart. Men som sagt, jag ber de som är mer tekniskt kunniga ta sig en funderare.
Hej,
Att erbjuda sajten över https är besvärligare än det kan verka. Det innebär till exempel att alla källor på sidan måste hämtas över https så att inte webbläsaren blir nervös, det involverar alltså även våra bilder. För att sajten ska gå snabbt serveras bilderna från ett separat servermoln i cachad form. Att köra sajten över https innebär därmed att fler delar än själva sajten måste justeras och det tar mycket tid i anspråk.
För att vara ärlig tror jag därför att det inte är aktuellt på kort sikt.
Kan tillägga att FZ har en riktigt bra mobilsajt som senaste veckorna har fått flera bra funktioner och sidtyper utbyggda. Bland annat är nu hela spelkatalogen mobilanpassad. Om man inte vill visa för arbetsgivaren vad man surfar på så kan det vara en idé att surfa över 3G-anslutningen i sin mobil.