Я был довольно параноидален в отношении того, чтобы научиться «делать защитные права» для этого сайта, который я создаю (первый нетривиальный сайт, который я сделал), и я заметил кое-что, что беспокоит меня: SSL.
Здесь, в StackOverflow и в других местах, я прочитал множество тем о безопасности, в которых подробно рассказывается о восстановлении идентификаторов сеансов после n использований, а также о том, как ваши пароли должны передаваться, хэшироваться и никогда не храниться в виде простого текста. Я много читал о том, как определить, когда сеанс был захвачен, путем отслеживания IP-адресов, пользовательских агентов и использования отслеживающих файлов cookie.
Что я не понимаю, так это то, что имеет значение, когда веб-сайт регистрирует вас с помощью обычного HTTP POST и отправляет ваш пароль по сети в виде простого текста?
Я понимаю, что все остальные методы, которые я перечислил, необходимы для уменьшения вашего общего воздействия, и, возможно, есть сайты, которые так или иначе не нуждаются в такой безопасности, но я думаю, что я спрашиваю:
- Когда можно не беспокоиться о SSL?
На таких сайтах, как Gmail, ваш банк и LinkedIn, я вижу причину использовать SSL, но почему все такие сайты, как Facebook и Reddit, не беспокоят (черт, PlentyOfFish даже хранит ваш пароль в виде простого текста и даже отправляет его по электронной почте) Вам еженедельно в качестве напоминания!?!)?
Насколько я должен заботиться о том, чтобы убедиться, что SSL настроен (особенно если учесть, что я начинаю с общего хоста и у меня довольно дешевый запуск)? Мой сайт не будет содержать никакой личной информации, если это поможет. Если сайт станет успешным, я бы серьезно подумал о том, чтобы доплатить за дополнительную безопасность.
источник
Используя противоположный подход к ответу Джона, я думаю, что вы должны серьезно рассмотреть SSL, если вы обрабатываете любую личную информацию, включая имена с физическими адресами, адреса электронной почты, финансовую информацию и сообщения, которые пользователи разумно ожидают, чтобы быть конфиденциальными ,
Если ваш сайт не предоставляет пользователям возможность публиковать информацию о себе, вы должны рассматривать любую личную информацию, предоставленную вашими пользователями, как сохраняемую вами и вами, только на условиях строгой конфиденциальности, если только политика конфиденциальности вашего сайта не сообщит вашим пользователям об ином.
Запретите несанкционированным третьим лицам просматривать информацию ваших посетителей и информировать ваших пользователей о том, как вы используете их информацию для поддержания доверия ваших посетителей.
(Источник HTML для входа на Facebook.com)
источник
microtime()
звонок с сервера. Переданный вами хэш представляет собой комбинацию вашего пароля +microtime()
и, как только я получу ваш хэш, я аннулируюmicrotime()
пару + запрос / ответ на пароль (ее нельзя использовать снова).По состоянию на август 2014 года Google официально указал, что HTTPS будет использоваться в качестве сигнала ранжирования.
Это означает, что даже если ваш сайт является полностью статичным, если вы заботитесь о SEO, вам следует хотя бы рассмотреть возможность создания SSL-сертификата.
Конечно, HTTPS - это всего лишь один ранжирующий сигнал из сотен, поэтому, вероятно, есть и более важные вещи, которые вы можете сделать для SEO.
источник
Вот угол, который вы, возможно, не рассмотрели: неиспользование SSL / TLS может подвергнуть ваших пользователей пассивному мониторингу, даже если на вашем сайте нет логинов.
Актер угрозы может просто сидеть между вашим пользователем и остальной частью Интернета, просматривая все URL-адреса, которые запрашивает ваш пользователь, и выстраивая шаблоны того, что просматривает ваш пользователь. Отдельные фрагменты информации могут быть незначительными в отдельности, но объединение большого количества мелких фрагментов информации может создать гораздо большую картину.
Именно по этой причине я предлагаю HTTPS на своем собственном сайте, который предоставляет только статический контент.
источник