Ich war ziemlich paranoid, als ich lernte, "Sicherheit richtig zu machen" für diese Site, die ich erstelle (erste nicht triviale Site, die ich erstellt habe), und ich habe etwas bemerkt, das mich stört: SSL.
Ich habe hier, auf StackOverflow und anderswo viele Sicherheitsthreads gelesen, in denen ausführlich über die Neuerstellung von Sitzungs-IDs nach n Verwendungen und darüber, wie Ihre Kennwörter gesalzen, gehasht und niemals im Klartext gespeichert werden müssen, berichtet wird. Ich habe viel darüber gelesen, wie man erkennt, wann eine Sitzung entführt wurde, indem man IP-Adressen, Benutzeragenten und Tracking-Cookies verfolgt.
Was ich nicht verstehe, ist, worauf es ankommt, wenn sich die Website über einen normalen HTTP-POST anmeldet und Ihr Passwort im Klartext über die Leitung sendet.
Ich verstehe, dass alle anderen Methoden, die ich aufgelistet habe, erforderlich sind, um Ihre allgemeine Gefährdung zu verringern, und vielleicht gibt es einige Websites, die sowieso nicht so viel Sicherheit benötigen, aber ich denke, was ich frage, ist:
- Wann ist es in Ordnung, sich nicht mit SSL zu beschäftigen?
Websites wie Google Mail, Ihre Bank und LinkedIn haben zwar einen Grund, SSL zu verwenden, aber was macht es in Ordnung, dass Websites wie Facebook und reddit sich nicht darum kümmern (verdammt, PlentyOfFish speichert Ihr Passwort sogar im Klartext und sendet es sogar per E-Mail wöchentlich zur Erinnerung!?!)?
Wie wichtig sollte es mir sein, sicherzustellen, dass SSL eingerichtet ist (insbesondere, da ich mit einem gemeinsam genutzten Host beginnen würde und der Start ziemlich billig ist)? Meine Website enthält keine besonders persönlichen Informationen, wenn dies hilfreich ist. Wenn die Site ein Erfolg wird, würde ich ernsthaft versuchen, das Extra für die zusätzliche Sicherheit zu bezahlen.
quelle
Unter dem umgekehrten Weg zu Johns Antwort, ich glaube , Sie ernsthaft SSL in Betracht ziehen sollten , wenn Sie behandeln alle personenbezogenen Daten - enthalten: Namen mit Adressen, E-Mail - Adressen, Finanzinformationen und Kommunikation , die Nutzer vernünftigerweise erwarten würden privat zu sein .
Sofern Ihre Website den Benutzern nicht die Möglichkeit bietet, Informationen über sich selbst zu veröffentlichen, sollten Sie alle von Ihren Benutzern bereitgestellten personenbezogenen Daten als von Ihnen und Ihnen nur unter strengem Vertrauen gespeichert betrachten, es sei denn, die Datenschutzrichtlinie Ihrer Website informiert Ihre Benutzer anderweitig.
Verhindern Sie, dass nicht autorisierte Dritte die Informationen Ihrer Besucher sehen, und halten Sie Ihre Benutzer darüber auf dem Laufenden, wie Sie ihre Informationen verwenden, um das Vertrauen Ihrer Besucher aufrechtzuerhalten.
(Facebook.com Login HTML-Quelle)
quelle
microtime()
Anruf vom Server enthält. Ihr übertragener Hash ist eine Kombination aus Ihrem Passwort + demmicrotime()
und sobald ich Ihren Hash erhalten habe, mache ich dasmicrotime()
+ Passwort-Challenge / Response-Paar ungültig (es kann nicht mehr verwendet werden).Ab August 2014 hat Google offiziell angekündigt, dass HTTPS als Ranking-Signal verwendet wird.
Dies bedeutet, dass Sie, selbst wenn Ihre Website eine vollständig statische Website ist, wenn Sie sich für SEO interessieren, zumindest in Betracht ziehen sollten, ein SSL-Zertifikat einzurichten.
Natürlich ist HTTPS nur ein Ranking-Signal von Hunderten, daher gibt es wahrscheinlich wichtigere Dinge, die Sie für SEO tun können.
quelle
Dies ist ein Aspekt, den Sie möglicherweise nicht berücksichtigt haben: Wenn Sie SSL / TLS nicht verwenden, können Ihre Benutzer einer passiven Überwachung ausgesetzt werden, selbst wenn Ihre Site keine Anmeldungen hat.
Ein Bedrohungsakteur kann einfach zwischen Ihrem Benutzer und dem Rest des Internets sitzen, alle URLs beobachten, die Ihr Benutzer anfordert, und Muster von Dingen erstellen, die Ihr Benutzer anzeigt. Einzelne Informationsbits mögen zwar isoliert unbedeutend sein, aber das Kombinieren vieler kleiner Informationsbits kann ein viel größeres Bild ergeben.
Aus diesem Grund biete ich HTTPS auf meiner eigenen Website an, die nur statischen Inhalt bereitstellt.
quelle