Ist SSL für die meisten Websites wirklich wichtig?

11

Ich war ziemlich paranoid, als ich lernte, "Sicherheit richtig zu machen" für diese Site, die ich erstelle (erste nicht triviale Site, die ich erstellt habe), und ich habe etwas bemerkt, das mich stört: SSL.

Ich habe hier, auf StackOverflow und anderswo viele Sicherheitsthreads gelesen, in denen ausführlich über die Neuerstellung von Sitzungs-IDs nach n Verwendungen und darüber, wie Ihre Kennwörter gesalzen, gehasht und niemals im Klartext gespeichert werden müssen, berichtet wird. Ich habe viel darüber gelesen, wie man erkennt, wann eine Sitzung entführt wurde, indem man IP-Adressen, Benutzeragenten und Tracking-Cookies verfolgt.

Was ich nicht verstehe, ist, worauf es ankommt, wenn sich die Website über einen normalen HTTP-POST anmeldet und Ihr Passwort im Klartext über die Leitung sendet.

Ich verstehe, dass alle anderen Methoden, die ich aufgelistet habe, erforderlich sind, um Ihre allgemeine Gefährdung zu verringern, und vielleicht gibt es einige Websites, die sowieso nicht so viel Sicherheit benötigen, aber ich denke, was ich frage, ist:

  • Wann ist es in Ordnung, sich nicht mit SSL zu beschäftigen?

Websites wie Google Mail, Ihre Bank und LinkedIn haben zwar einen Grund, SSL zu verwenden, aber was macht es in Ordnung, dass Websites wie Facebook und reddit sich nicht darum kümmern (verdammt, PlentyOfFish speichert Ihr Passwort sogar im Klartext und sendet es sogar per E-Mail wöchentlich zur Erinnerung!?!)?

Wie wichtig sollte es mir sein, sicherzustellen, dass SSL eingerichtet ist (insbesondere, da ich mit einem gemeinsam genutzten Host beginnen würde und der Start ziemlich billig ist)? Meine Website enthält keine besonders persönlichen Informationen, wenn dies hilfreich ist. Wenn die Site ein Erfolg wird, würde ich ernsthaft versuchen, das Extra für die zusätzliche Sicherheit zu bezahlen.

AgentConundrum
quelle

Antworten:

7

Es ist genauso wichtig, wie Sie und Ihre Benutzer es für wichtig halten. Das Senden von Passwörtern über http als Klartext macht sie anfällig für Paket-Sniffing. Ob sich jemand die Mühe macht, diese Pakete zu schnüffeln, ist eine ganz andere Geschichte. Wenn Sie Ihren Benutzern ein möglichst sicheres Erlebnis bieten möchten, verwenden Sie SSL für ihre Anmeldeübermittlungen. Wenn Sie der Meinung sind, dass Ihre Benutzer zufriedener sind und mit größerer Wahrscheinlichkeit positiv mit Ihrer Website interagieren (z. B. Dinge kaufen, Dinge tun usw.), verwenden Sie SSL für ihre Anmeldungen. Wenn Sie etwas haben, das es wert ist, gestohlen zu werden (z. B. Benutzerinformationen), verwenden Sie SSL.

Wenn Sie nichts haben, was es wert ist, gestohlen zu werden, denken Sie nicht, dass SSL die Sicherheit stark oder überhaupt nicht verbessert, oder Ihre Benutzer werden es nicht als nützliche Funktion ansehen, dann sollten Sie in Betracht ziehen, SSL nicht zu verwenden.

Für das, was es kostet, ein SSL-Zertifikat zu installieren, ist es nie schlecht, das Login einer Site zu sichern, es sei denn, Sie haben ein knappes Budget. Und lassen Sie sich nicht von anderen Websites beeinflussen, da viele größere Websites nicht unbedingt den Best Practices folgen. Deshalb gibt es anscheinend einen stetigen Strom von Nachrichten darüber, dass eine Website auf irgendeine Weise kompromittiert wird.

John Conde
quelle
1
+1 "Viele größere Websites müssen nicht unbedingt den Best Practices folgen" - Ich bin sicher, dass es einige lächerliche Schlagzeilen geben wird, wenn nigerianische 419'er einen Weg finden, gestohlene Dating-Website-Profile zu monetarisieren :)
danlefree
"es sei denn, Sie haben ein knappes Budget" - aber ich bin es. Ich bin wirklich so weit, dass ich erwäge, m + m auf einen billigen gemeinsamen Host zu setzen, anstatt deutlich weniger pro Monat zu zahlen, um ein Jahr im Voraus zu bezahlen. Auf diese Weise kann ich den Stecker ziehen, wenn sich die Website nicht relativ schnell amortisiert. Ich denke, im Moment neige ich zu no-ssl, da allein das Erhalten der statischen IP-Adresse meine monatlichen Kosten fast verdoppeln würde, ganz zu schweigen von den Kosten für das Zertifikat selbst. Die Website ist fast ein Forum, und die meisten Daten sind öffentlich, sodass außerhalb des Logins keine Verschlüsselung erforderlich ist.
AgentConundrum
@ Danlefree, das ist einfach. Verwenden Sie die persönlichen Daten auf den Dating-Sites, um die Fragen zur Passwortwiederherstellung für die E-Mail- und Banking-Site des Benutzers zu beantworten. Oder erfassen Sie einfach das Passwort, da die Leute ihre Passwörter viel zu oft wiederverwenden.
Zoredache
@AgentConundrum Startssl bietet ein kostenloses SSL-Zertifikat an. Wenn Sie ein knappes Budget haben, aber eine statische IP haben, können Sie sich dafür entscheiden.
Rana Prathap
@AgentConundrum Sie benötigen keine dedizierte IP für SSL mehr, solange Ihr Host SNI unterstützt (und wenn nicht, suchen Sie einen neuen Host, weil er nicht weiß, was er tut). Sie können ein Zertifikat kostenlos erhalten, das ist also auch kein Aufpreis ...
Doktor J
3

Unter dem umgekehrten Weg zu Johns Antwort, ich glaube , Sie ernsthaft SSL in Betracht ziehen sollten , wenn Sie behandeln alle personenbezogenen Daten - enthalten: Namen mit Adressen, E-Mail - Adressen, Finanzinformationen und Kommunikation , die Nutzer vernünftigerweise erwarten würden privat zu sein .

Sofern Ihre Website den Benutzern nicht die Möglichkeit bietet, Informationen über sich selbst zu veröffentlichen, sollten Sie alle von Ihren Benutzern bereitgestellten personenbezogenen Daten als von Ihnen und Ihnen nur unter strengem Vertrauen gespeichert betrachten, es sei denn, die Datenschutzrichtlinie Ihrer Website informiert Ihre Benutzer anderweitig.

Verhindern Sie, dass nicht autorisierte Dritte die Informationen Ihrer Besucher sehen, und halten Sie Ihre Benutzer darüber auf dem Laufenden, wie Sie ihre Informationen verwenden, um das Vertrauen Ihrer Besucher aufrechtzuerhalten.

Sogar Facebook macht das, soweit ich das beurteilen kann.

<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form" onsubmit=";var d=document.documentElement;if (d.onsubmit) { return d.onsubmit(event); }else { return Event.fire(d, &quot;submit&quot;, event); }">

(Facebook.com Login HTML-Quelle)

danlefree
quelle
Seltsam. Ich weiß nicht, wie ich das bei Facebook nicht bemerkt habe. Ich habe es mir von HTTPFox aus angesehen und irgendwie das 's' bei der ersten Anfrage verpasst. Ich werde bearbeiten, um das zu entfernen. Es bleibt die Tatsache, dass viele Websites dies tun (Reddit, Hacker-News, TDWTF usw.), also wäre ich im schlimmsten Fall nicht besser als sie. Das Budget ist ein großes Anliegen von mir, also zusätzlich 5 US-Dollar pro Monat für eine statische IP (für einen Host mit 8 US-Dollar pro Monat ...) auszugeben und ein anständiges Zertifikat zu kaufen. Ich würde fast in Betracht ziehen, den Damm einfach nicht zu bauen Seite? ˅.
AgentConundrum
@AgentConundrum - Genau genommen ist es in Ordnung, ein Kennwort zu übergeben, das über einen Einweg-Hashing-Algorithmus über HTTP ausgeführt wird, wenn das Kennwort gesalzen ist. Daher wäre ich nicht überrascht, eine MD5-Hash-Implementierung auf Websites zu sehen, die nicht verwendet werden SSL: pajhome.org.uk/crypt/md5
danlefree
und wie würde das Erstellen eines Hashs auf der Client-Seite irgendetwas helfen? In diesem Fall ist der Hash im Grunde das Passwort . Ich sollte in der Lage sein, den Hash zu erfassen und ihn genauso einfach wiederzugeben, wie ich ein Passwort erfassen kann.
Zoredache
1
@Zoredache Deshalb muss der Hash gesalzen werden . So funktioniert es: Ich sende Ihnen die Anmeldeseite mit einem vorab ausgefüllten Token, das einen microtime()Anruf vom Server enthält. Ihr übertragener Hash ist eine Kombination aus Ihrem Passwort + dem microtime()und sobald ich Ihren Hash erhalten habe, mache ich das microtime()+ Passwort-Challenge / Response-Paar ungültig (es kann nicht mehr verwendet werden).
Danlefree
3

Ab August 2014 hat Google offiziell angekündigt, dass HTTPS als Ranking-Signal verwendet wird.

Dies bedeutet, dass Sie, selbst wenn Ihre Website eine vollständig statische Website ist, wenn Sie sich für SEO interessieren, zumindest in Betracht ziehen sollten, ein SSL-Zertifikat einzurichten.

Natürlich ist HTTPS nur ein Ranking-Signal von Hunderten, daher gibt es wahrscheinlich wichtigere Dinge, die Sie für SEO tun können.

kqw
quelle
Google hat außerdem angekündigt, dass das Einrichten eines SSL-Zertifikats Ressourcen erfordert. Sie müssen dies nur tun, wenn Ihre Website dies erfordert. Kurz gesagt, sie erwähnten, dass Ihre Rankings nicht betroffen sind, nur weil Sie kein SSL-Zertifikat in Ihrem persönlichen Blog eingerichtet haben.
Rana Prathap
1

Dies ist ein Aspekt, den Sie möglicherweise nicht berücksichtigt haben: Wenn Sie SSL / TLS nicht verwenden, können Ihre Benutzer einer passiven Überwachung ausgesetzt werden, selbst wenn Ihre Site keine Anmeldungen hat.

Ein Bedrohungsakteur kann einfach zwischen Ihrem Benutzer und dem Rest des Internets sitzen, alle URLs beobachten, die Ihr Benutzer anfordert, und Muster von Dingen erstellen, die Ihr Benutzer anzeigt. Einzelne Informationsbits mögen zwar isoliert unbedeutend sein, aber das Kombinieren vieler kleiner Informationsbits kann ein viel größeres Bild ergeben.

Aus diesem Grund biete ich HTTPS auf meiner eigenen Website an, die nur statischen Inhalt bereitstellt.

Zickzack
quelle