Действительно ли SSL имеет значение для большинства сайтов?

11

Я был довольно параноидален в отношении того, чтобы научиться «делать защитные права» для этого сайта, который я создаю (первый нетривиальный сайт, который я сделал), и я заметил кое-что, что беспокоит меня: SSL.

Здесь, в StackOverflow и в других местах, я прочитал множество тем о безопасности, в которых подробно рассказывается о восстановлении идентификаторов сеансов после n использований, а также о том, как ваши пароли должны передаваться, хэшироваться и никогда не храниться в виде простого текста. Я много читал о том, как определить, когда сеанс был захвачен, путем отслеживания IP-адресов, пользовательских агентов и использования отслеживающих файлов cookie.

Что я не понимаю, так это то, что имеет значение, когда веб-сайт регистрирует вас с помощью обычного HTTP POST и отправляет ваш пароль по сети в виде простого текста?

Я понимаю, что все остальные методы, которые я перечислил, необходимы для уменьшения вашего общего воздействия, и, возможно, есть сайты, которые так или иначе не нуждаются в такой безопасности, но я думаю, что я спрашиваю:

  • Когда можно не беспокоиться о SSL?

На таких сайтах, как Gmail, ваш банк и LinkedIn, я вижу причину использовать SSL, но почему все такие сайты, как Facebook и Reddit, не беспокоят (черт, PlentyOfFish даже хранит ваш пароль в виде простого текста и даже отправляет его по электронной почте) Вам еженедельно в качестве напоминания!?!)?

Насколько я должен заботиться о том, чтобы убедиться, что SSL настроен (особенно если учесть, что я начинаю с общего хоста и у меня довольно дешевый запуск)? Мой сайт не будет содержать никакой личной информации, если это поможет. Если сайт станет успешным, я бы серьезно подумал о том, чтобы доплатить за дополнительную безопасность.

AgentConundrum
источник

Ответы:

7

Это имеет значение так же, как вы и ваши пользователи думают, что это важно. Отправка паролей через http в виде простого текста делает их уязвимыми для перехвата пакетов. Теперь, собирается ли кто-нибудь действительно понюхать эти пакеты - это совсем другая история. Если вы хотите, чтобы ваши пользователи были максимально безопасны, используйте SSL для их регистрации. Если вы думаете, что ваши пользователи будут счастливее и с большей вероятностью будут взаимодействовать с вашим сайтом в позитивном ключе (то есть покупать вещи, делать вещи и т. Д.), Тогда используйте SSL для своих входов в систему. Если у вас есть что-то, что стоит украсть (например, информацию о пользователе), тогда используйте SSL.

Если у вас нет ничего стоящего воровства, не думайте, что SSL сильно или вообще улучшит безопасность, или ваши пользователи не будут рассматривать это как полезную функцию, тогда вы, возможно, захотите не использовать SSL.

Сколько стоит установка сертификата SSL, если вы не ограничены в средствах, то безопасность входа на сайт никогда не бывает плохой. И не позволяйте тому, что делают другие сайты, влиять на вас, так как многие крупные сайты не обязательно следуют передовым методам, поэтому, похоже, существует постоянный поток новостей о том, что один из них каким-то образом скомпрометирован.

Джон Конде
источник
1
+1 «многие крупные сайты не необходимые последующие лучшие практики» - я уверен , что там будут какие - то смехотворные заголовки , когда нигерийские 419'ers выяснить способ монетизации похищенные профили сайт знакомств :)
danlefree
«Если вы не на ограниченный бюджет» - но я. Я действительно, действительно, до такой степени, что я собираюсь пойти m + m на дешевый общий хост, а не платить значительно меньше в месяц, чтобы заплатить за год вперед. Таким образом, я могу отключиться, если сайт не начнет окупаться относительно быстро. Я думаю, что сейчас я склоняюсь к no-ssl, поскольку получение только необходимого статического IP-адреса почти удвоит мои ежемесячные затраты, не говоря уже о стоимости самого сертификата. Сайт довольно близок к тому, чтобы быть форумом, и большая часть данных является общедоступной, поэтому не требуется шифрование вне входа в систему.
AgentConundrum
@danlefree, это легко. Используйте личные данные на сайтах знакомств, чтобы ответить на вопросы о восстановлении пароля для пользователей электронной почты и банковского сайта. Или просто запишите пароль, поскольку люди многократно используют свои пароли.
Зоредаче
@AgentConundrum Startssl предлагает SSL-сертификат бесплатно. Если у вас ограниченный бюджет, но статический IP-адрес, вы можете пойти на это.
Рана Пратхап
@AgentConundrum вам больше не нужен выделенный IP для SSL, если ваш хост поддерживает SNI (а если нет, найдите новый хост, потому что они не знают, что делают). Вы можете получить сертификат бесплатно, так что это также не является дополнительной ценой ...
Doktor J
3

Используя противоположный подход к ответу Джона, я думаю, что вы должны серьезно рассмотреть SSL, если вы обрабатываете любую личную информацию, включая имена с физическими адресами, адреса электронной почты, финансовую информацию и сообщения, которые пользователи разумно ожидают, чтобы быть конфиденциальными ,

Если ваш сайт не предоставляет пользователям возможность публиковать информацию о себе, вы должны рассматривать любую личную информацию, предоставленную вашими пользователями, как сохраняемую вами и вами, только на условиях строгой конфиденциальности, если только политика конфиденциальности вашего сайта не сообщит вашим пользователям об ином.

Запретите несанкционированным третьим лицам просматривать информацию ваших посетителей и информировать ваших пользователей о том, как вы используете их информацию для поддержания доверия ваших посетителей.

Даже Facebook делает это, насколько я могу судить.

<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form" onsubmit=";var d=document.documentElement;if (d.onsubmit) { return d.onsubmit(event); }else { return Event.fire(d, &quot;submit&quot;, event); }">

(Источник HTML для входа на Facebook.com)

danlefree
источник
Странный. Я не знаю, как я не заметил этого для Facebook. Я смотрел на него из HTTPFox и как-то пропустил 's' в первоначальном запросе. Я буду редактировать, чтобы удалить это. Факт остается фактом: многие сайты делают это (reddit, хакерские новости, TDWTF и т. Д.), Поэтому в худшем случае я буду не лучше их. Бюджет - огромная проблема для меня, поэтому потратить лишние 5 долл. / Мес на статический IP (на хосте 8 долл. / Мес ...), а также купить приличный сертификат. Я бы почти подумал просто не строить чёрт побери. сайт.
AgentConundrum
@AgentConundrum - Строго говоря, можно передавать пароль через односторонний алгоритм хеширования через HTTP, если пароль солевой, поэтому я не был бы слишком удивлен, увидев реализацию хеширования MD5 на сайтах, которые не используют SSL: pajhome.org.uk/crypt/md5
danlefree
и как построение хеша на стороне клиента поможет чему-нибудь? В этом случае, в основном, хешем является пароль . Я должен быть в состоянии захватить хэш и воспроизвести его так же легко, как я могу захватить пароль.
Зоредаче
1
@Zoredache Вот почему хэш должен быть соленым . Вот как это работает: я отправляю вам страницу входа с предварительно заполненным токеном, который включает в себя microtime()звонок с сервера. Переданный вами хэш представляет собой комбинацию вашего пароля + microtime()и, как только я получу ваш хэш, я аннулирую microtime()пару + запрос / ответ на пароль (ее нельзя использовать снова).
2010 г.
3

По состоянию на август 2014 года Google официально указал, что HTTPS будет использоваться в качестве сигнала ранжирования.

Это означает, что даже если ваш сайт является полностью статичным, если вы заботитесь о SEO, вам следует хотя бы рассмотреть возможность создания SSL-сертификата.

Конечно, HTTPS - это всего лишь один ранжирующий сигнал из сотен, поэтому, вероятно, есть и более важные вещи, которые вы можете сделать для SEO.

kqw
источник
Google также объявил, что поскольку для настройки SSL-сертификата требуются ресурсы, это необходимо делать только в том случае, если этого требует ваш веб-сайт. Короче говоря, они упомянули, что на ваш рейтинг это не повлияет только потому, что вы не настроили SSL-сертификат в своем личном блоге.
Рана Пратхап
1

Вот угол, который вы, возможно, не рассмотрели: неиспользование SSL / TLS может подвергнуть ваших пользователей пассивному мониторингу, даже если на вашем сайте нет логинов.

Актер угрозы может просто сидеть между вашим пользователем и остальной частью Интернета, просматривая все URL-адреса, которые запрашивает ваш пользователь, и выстраивая шаблоны того, что просматривает ваш пользователь. Отдельные фрагменты информации могут быть незначительными в отдельности, но объединение большого количества мелких фрагментов информации может создать гораздо большую картину.

Именно по этой причине я предлагаю HTTPS на своем собственном сайте, который предоставляет только статический контент.

zigg
источник