Действительно ли SSL имеет значение для большинства сайтов?

Я был довольно параноидален в отношении того, чтобы научиться «делать защитные права» для этого сайта, который я создаю (первый нетривиальный сайт, который я сделал), и я заметил кое-что, что беспокоит меня: SSL.

Здесь, в StackOverflow и в других местах, я прочитал множество тем о безопасности, в которых подробно рассказывается о восстановлении идентификаторов сеансов после n использований, а также о том, как ваши пароли должны передаваться, хэшироваться и никогда не храниться в виде простого текста. Я много читал о том, как определить, когда сеанс был захвачен, путем отслеживания IP-адресов, пользовательских агентов и использования отслеживающих файлов cookie.

Что я не понимаю, так это то, что имеет значение, когда веб-сайт регистрирует вас с помощью обычного HTTP POST и отправляет ваш пароль по сети в виде простого текста?

Я понимаю, что все остальные методы, которые я перечислил, необходимы для уменьшения вашего общего воздействия, и, возможно, есть сайты, которые так или иначе не нуждаются в такой безопасности, но я думаю, что я спрашиваю:

• Когда можно не беспокоиться о SSL?

На таких сайтах, как Gmail, ваш банк и LinkedIn, я вижу причину использовать SSL, но почему все такие сайты, как Facebook и Reddit, не беспокоят (черт, PlentyOfFish даже хранит ваш пароль в виде простого текста и даже отправляет его по электронной почте) Вам еженедельно в качестве напоминания!?!)?

Насколько я должен заботиться о том, чтобы убедиться, что SSL настроен (особенно если учесть, что я начинаю с общего хоста и у меня довольно дешевый запуск)? Мой сайт не будет содержать никакой личной информации, если это поможет. Если сайт станет успешным, я бы серьезно подумал о том, чтобы доплатить за дополнительную безопасность.

Это имеет значение так же, как вы и ваши пользователи думают, что это важно. Отправка паролей через http в виде простого текста делает их уязвимыми для перехвата пакетов. Теперь, собирается ли кто-нибудь действительно понюхать эти пакеты - это совсем другая история. Если вы хотите, чтобы ваши пользователи были максимально безопасны, используйте SSL для их регистрации. Если вы думаете, что ваши пользователи будут счастливее и с большей вероятностью будут взаимодействовать с вашим сайтом в позитивном ключе (то есть покупать вещи, делать вещи и т. Д.), Тогда используйте SSL для своих входов в систему. Если у вас есть что-то, что стоит украсть (например, информацию о пользователе), тогда используйте SSL.

Если у вас нет ничего стоящего воровства, не думайте, что SSL сильно или вообще улучшит безопасность, или ваши пользователи не будут рассматривать это как полезную функцию, тогда вы, возможно, захотите не использовать SSL.

Сколько стоит установка сертификата SSL, если вы не ограничены в средствах, то безопасность входа на сайт никогда не бывает плохой. И не позволяйте тому, что делают другие сайты, влиять на вас, так как многие крупные сайты не обязательно следуют передовым методам, поэтому, похоже, существует постоянный поток новостей о том, что один из них каким-то образом скомпрометирован.

Используя противоположный подход к ответу Джона, я думаю, что вы должны серьезно рассмотреть SSL, если вы обрабатываете любую личную информацию, включая имена с физическими адресами, адреса электронной почты, финансовую информацию и сообщения, которые пользователи разумно ожидают, чтобы быть конфиденциальными ,

Если ваш сайт не предоставляет пользователям возможность публиковать информацию о себе, вы должны рассматривать любую личную информацию, предоставленную вашими пользователями, как сохраняемую вами и вами, только на условиях строгой конфиденциальности, если только политика конфиденциальности вашего сайта не сообщит вашим пользователям об ином.

Запретите несанкционированным третьим лицам просматривать информацию ваших посетителей и информировать ваших пользователей о том, как вы используете их информацию для поддержания доверия ваших посетителей.

Даже Facebook делает это, насколько я могу судить.

<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form" onsubmit=";var d=document.documentElement;if (d.onsubmit) { return d.onsubmit(event); }else { return Event.fire(d, &quot;submit&quot;, event); }">

(Источник HTML для входа на Facebook.com)

По состоянию на август 2014 года Google официально указал, что HTTPS будет использоваться в качестве сигнала ранжирования.

Это означает, что даже если ваш сайт является полностью статичным, если вы заботитесь о SEO, вам следует хотя бы рассмотреть возможность создания SSL-сертификата.

Конечно, HTTPS - это всего лишь один ранжирующий сигнал из сотен, поэтому, вероятно, есть и более важные вещи, которые вы можете сделать для SEO.

Вот угол, который вы, возможно, не рассмотрели: неиспользование SSL / TLS может подвергнуть ваших пользователей пассивному мониторингу, даже если на вашем сайте нет логинов.

Актер угрозы может просто сидеть между вашим пользователем и остальной частью Интернета, просматривая все URL-адреса, которые запрашивает ваш пользователь, и выстраивая шаблоны того, что просматривает ваш пользователь. Отдельные фрагменты информации могут быть незначительными в отдельности, но объединение большого количества мелких фрагментов информации может создать гораздо большую картину.

Именно по этой причине я предлагаю HTTPS на своем собственном сайте, который предоставляет только статический контент.