SSL มีความสำคัญต่อเว็บไซต์ส่วนใหญ่หรือไม่

11

ฉันค่อนข้างหวาดระแวงเกี่ยวกับการเรียนรู้ที่จะ "รักษาความปลอดภัยที่ถูกต้อง" สำหรับเว็บไซต์นี้ฉันกำลังสร้าง (ไซต์ที่ไม่ได้ทำเรื่องไม่สำคัญครั้งแรกที่ฉันทำ) และฉันสังเกตเห็นสิ่งที่รบกวนฉัน: SSL

ฉันได้อ่านเธรดการรักษาความปลอดภัยมากมายที่นี่บน StackOverflow และที่อื่น ๆ ที่มีความยาวเกี่ยวกับการสร้างรหัสเซสชันหลังจากการใช้งาน n ครั้งและวิธีการที่รหัสผ่านของคุณจะต้องถูกใส่เกลือแฮชและไม่เคยเก็บไว้ในข้อความธรรมดา ฉันได้อ่านมากมายเกี่ยวกับวิธีการตรวจสอบเมื่อเซสชันถูกไฮแจ็กโดยการติดตามที่อยู่ IP ตัวแทนผู้ใช้และโดยใช้คุกกี้การติดตาม

สิ่งที่ฉันไม่เข้าใจคือสิ่งใดในเรื่องนี้เมื่อเว็บไซต์ล็อกอินคุณผ่าน HTTP POST ปกติและส่งรหัสผ่านของคุณผ่านสายเป็นข้อความธรรมดา?

ฉันเข้าใจว่าวิธีการอื่น ๆ ที่ฉันระบุไว้นั้นเป็นสิ่งจำเป็นเพื่อลดการเปิดเผยโดยรวมของคุณและอาจมีบางเว็บไซต์ที่ไม่ต้องการความปลอดภัยขนาดนั้นอีกต่อไป แต่ฉันเดาว่าสิ่งที่ฉันถามคือ:

เมื่อไรที่จะไม่ยุ่งกับ SSL?

เว็บไซต์อย่าง Gmail ธนาคารของคุณและ LinkedIn ฉันเห็นว่ามีเหตุผลที่จะใช้ SSL แต่สิ่งที่ทำให้มันเป็นไรที่ไซต์เช่น Facebook และ reddit ไม่ต้องกังวล (นรก, PlentyOfFish ยังเก็บรหัสผ่านของคุณเป็นข้อความธรรมดาและแม้กระทั่งอีเมล ถึงคุณทุกสัปดาห์เพื่อเป็นการเตือน!?!)?

ฉันควรกังวลเกี่ยวกับการตั้งค่า SSL อย่างไร (โดยเฉพาะอย่างยิ่งตั้งแต่ฉันเริ่มต้นด้วยโฮสต์ที่ใช้ร่วมกันและฉันเริ่มถูกแล้ว) เว็บไซต์ของฉันจะไม่เก็บข้อมูลส่วนบุคคลใด ๆ โดยเฉพาะหากสิ่งนั้นช่วยได้ หากไซต์ประสบความสำเร็จฉันจะพิจารณาจ่ายเงินพิเศษเพื่อความปลอดภัยที่เพิ่มขึ้นอย่างจริงจัง

https security authentication

— AgentConundrum
แหล่งที่มา

7

มันสำคัญมากสำหรับคุณและผู้ใช้ของคุณคิดว่ามันสำคัญ การส่งรหัสผ่านบน http เป็นข้อความธรรมดาทำให้พวกเขาเสี่ยงต่อการสูดดมแพ็คเก็ต ตอนนี้ไม่ว่าจะมีใครบางคนรำคาญที่จะดมกลิ่นแพ็คเก็ตเหล่านั้นเป็นเรื่องอื่นทั้งหมด หากคุณต้องการให้แน่ใจว่าผู้ใช้ของคุณได้รับประสบการณ์ที่ปลอดภัยที่สุดให้ใช้ SSL สำหรับการส่งข้อมูลเข้าสู่ระบบ หากคุณคิดว่าผู้ใช้ของคุณจะมีความสุขและมีแนวโน้มที่จะโต้ตอบกับเว็บไซต์ของคุณในทางบวก (เช่นซื้อสิ่งของทำสิ่งของ ฯลฯ ) จากนั้นใช้ SSL สำหรับการส่งข้อมูลเข้าสู่ระบบ หากคุณมีสิ่งที่ควรค่าแก่การขโมย (เช่นข้อมูลผู้ใช้) ให้ใช้ SSL

หากคุณไม่มีสิ่งใดที่คุ้มค่ากับการขโมยอย่าคิดว่า SSL จะช่วยเพิ่มความปลอดภัยได้ไม่ว่าจะด้วยวิธีใดก็ตามมิฉะนั้นผู้ใช้ของคุณจะไม่เห็นว่ามันเป็นคุณสมบัติที่มีประโยชน์คุณอาจต้องการพิจารณาไม่ใช้ SSL

สำหรับค่าใช้จ่ายในการติดตั้งใบรับรอง SSL นอกเสียจากว่าคุณจะอยู่ในงบประมาณเชือกผูกรองเท้าก็ไม่เลวเลยที่จะปลอดภัยในการเข้าสู่ระบบของเว็บไซต์ และอย่าปล่อยให้สิ่งที่เว็บไซต์อื่น ๆ ทำมีอิทธิพลต่อคุณเนื่องจากเว็บไซต์ขนาดใหญ่จำนวนมากไม่จำเป็นต้องปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดซึ่งเป็นสาเหตุที่ทำให้ดูเหมือนมีกระแสข่าวเกี่ยวกับเว็บไซต์ที่ถูกบุกรุกในบางด้าน

— John Conde
แหล่งที่มา

1

+1 "ไซต์ขนาดใหญ่จำนวนมากไม่จำเป็นต้องปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด" - ฉันแน่ใจว่าจะมีบางหัวข้อที่น่าหัวเราะเมื่อไนจีเรีย 419'ers หาวิธีสร้างรายได้จากโปรไฟล์เว็บไซต์หาคู่ที่ถูกขโมย :)

— danlefree

"นอกเสียจากคุณจะมีงบประมาณ จำกัด " - แต่ฉันเป็น ฉันจริง ๆ จริง ๆ จนถึงจุดที่ฉันกำลังพิจารณาจะ m + m บนโฮสต์ที่ใช้ร่วมกันราคาถูกแทนที่จะจ่ายน้อยกว่ามากต่อเดือนเพื่อจ่ายสำหรับปีล่วงหน้า ด้วยวิธีนี้ฉันสามารถดึงปลั๊กได้หากไซต์ไม่เริ่มจ่ายเองค่อนข้างเร็ว ฉันคิดว่าตอนนี้ฉันเอนตัวไปสู่ no-ssl ตั้งแต่เพิ่งได้รับ IP แบบคงที่ที่จำเป็นเพียงอย่างเดียวจะเพิ่มค่าใช้จ่ายรายเดือนของฉันเกือบสองเท่า ไซต์นี้ค่อนข้างใกล้เคียงกับฟอรัมและข้อมูลส่วนใหญ่เป็นสาธารณะจึงไม่จำเป็นต้องเข้ารหัสนอกการลงชื่อเข้าใช้

— AgentConundrum

@danlefree นั่นเป็นเรื่องง่าย ใช้รายละเอียดส่วนบุคคลในเว็บไซต์หาคู่เพื่อตอบคำถามกู้คืนรหัสผ่านสำหรับอีเมลผู้ใช้และเว็บไซต์ธนาคาร หรือเพียงแค่จับรหัสผ่านเนื่องจากผู้คนใช้รหัสผ่านของตนซ้ำไปมาก

— Zoredache

@AgentConundrum Startssl เสนอใบรับรอง SSL ฟรี หากคุณมีงบ จำกัด แต่มี IP แบบคงที่คุณก็สามารถทำได้

— Rana Prathap

@AgentConundrum คุณไม่ต้องการ IP เฉพาะสำหรับ SSL อีกต่อไปตราบใดที่โฮสต์ของคุณรองรับ SNI (และหากพวกเขาไม่พบให้หาโฮสต์ใหม่เพราะพวกเขาไม่รู้ว่ากำลังทำอะไรอยู่) คุณสามารถรับใบรับรองได้ฟรีดังนั้นจึงไม่มีค่าใช้จ่ายเพิ่มเติม ...

— Doktor J

3

การใช้วิธีตรงกันข้ามกับคำตอบของจอห์นฉันคิดว่าคุณควรพิจารณาอย่างจริงจัง SSL ถ้าคุณจัดการใด ๆข้อมูลส่วนบุคคลที่สามารถระบุตัวตน - รวมถึงชื่อที่มีที่อยู่ทางกายภาพที่อยู่อีเมลข้อมูลทางการเงินและการสื่อสารที่ผู้ใช้สมควรคาดว่าจะเป็นแบบส่วนตัว .

หากเว็บไซต์ของคุณไม่มีวิธีการให้ผู้ใช้เผยแพร่ข้อมูลเกี่ยวกับตัวเองคุณควรพิจารณาข้อมูลที่สามารถระบุตัวบุคคลที่ผู้ใช้ของคุณจัดขึ้นเพื่อคุณและคุณจะต้องอยู่ภายใต้ความมั่นใจอย่างเข้มงวดเว้นแต่นโยบายความเป็นส่วนตัวของเว็บไซต์จะแจ้งผู้ใช้ของคุณ

ป้องกันบุคคลที่สามที่ไม่ได้รับอนุญาตไม่ให้เห็นข้อมูลของผู้เยี่ยมชมและแจ้งให้ผู้ใช้ทราบถึงวิธีการใช้ข้อมูลของพวกเขาเพื่อรักษาความไว้วางใจของผู้เข้าชม

แม้แต่ Facebook ก็ทำเช่นนี้เท่าที่ฉันสามารถบอกได้

<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form" onsubmit=";var d=document.documentElement;if (d.onsubmit) { return d.onsubmit(event); }else { return Event.fire(d, &quot;submit&quot;, event); }">

(ที่มา Facebook.com HTML เข้าสู่ระบบแหล่งที่มา)

— danlefree
แหล่งที่มา

แปลก ฉันไม่รู้ว่าฉันไม่สังเกตเห็นว่าสำหรับ Facebook อย่างไร ฉันดูจาก HTTPFox และอย่างใดพลาด 's' ในคำขอเริ่มต้น ฉันจะแก้ไขเพื่อลบ ความจริงยังคงมีอยู่ว่ามีเว็บไซต์จำนวนมากที่ทำสิ่งนี้ (reddit, ข่าวแฮ็กเกอร์, TDWTF เป็นต้น) ดังนั้นที่แย่ที่สุดคือฉันจะไม่ดีไปกว่าพวกเขา งบประมาณเป็นสิ่งที่ฉันกังวลเป็นอย่างมากดังนั้นการใช้จ่ายเพิ่ม $ 5 / mo สำหรับ IP แบบคงที่ (บนโฮสต์ $ 8 / mo ... ) รวมถึงการซื้อใบรับรองที่ดี .. ฉันเกือบจะคิดว่าจะไม่สร้างเขื่อน เว็บไซต์.

— AgentConundrum

@AgentConundrum - พูดอย่างเคร่งครัดมันก็โอเคที่จะส่งรหัสผ่านที่ทำงานผ่านอัลกอริทึมการแฮชแบบทางเดียวผ่าน HTTP หากรหัสผ่านถูกใส่เกลือดังนั้นฉันจึงไม่แปลกใจที่จะเห็นการใช้แฮช MD5 บนเว็บไซต์ที่ไม่ได้ใช้งาน SSL: pajhome.org.uk/crypt/md5

— danlefree

และการสร้างแฮชที่ฝั่งไคลเอ็นต์จะช่วยอะไรได้บ้าง ในกรณีที่พื้นกัญชาเป็นรหัสผ่าน ฉันควรจะสามารถจับแฮชและเล่นซ้ำได้อย่างง่ายดายเหมือนกับที่ฉันสามารถเก็บรหัสผ่านได้

— Zoredache

1

@Zoredache นั่นเป็นเหตุผลที่กัญชาจะต้องเค็ม นี่คือวิธีการทำงาน: ฉันส่งหน้าลงชื่อเข้าใช้พร้อมด้วยโทเค็นที่เติมไว้ล่วงหน้าซึ่งรวมถึงการmicrotime()โทรจากเซิร์ฟเวอร์ แฮชที่ส่งของคุณเป็นการรวมกันของรหัสผ่านของคุณ + microtime()และเมื่อฉันได้รับแฮชของคุณฉันจะยกเลิกการใช้งานคู่microtime()+ ความท้าทาย / ตอบกลับรหัสผ่าน (จะไม่สามารถใช้งานได้อีก)

— danlefree

3

ตั้งแต่เดือนสิงหาคม 2014 Google ได้ระบุอย่างเป็นทางการว่าจะใช้ HTTPS เป็นสัญญาณการจัดอันดับ

ซึ่งหมายความว่าแม้ว่าเว็บไซต์ของคุณจะเป็นเว็บไซต์ที่สมบูรณ์ แต่ถ้าคุณสนใจ SEO คุณควรพิจารณาตั้งค่าใบรับรอง SSL เป็นอย่างน้อย

แน่นอน HTTPS เป็นเพียงการจัดอันดับสัญญาณเดียวจากหลายร้อยดังนั้นอาจมีสิ่งที่สำคัญกว่าที่คุณสามารถทำได้สำหรับ SEO

— kqw
แหล่งที่มา

Google ยังประกาศด้วยว่าเมื่อตั้งค่าใบรับรอง SSL ต้องใช้ทรัพยากรคุณต้องทำเช่นนั้นเฉพาะเมื่อเว็บไซต์ของคุณต้องการเท่านั้น โดยสรุปพวกเขากล่าวว่าอันดับของคุณจะไม่ได้รับผลกระทบเพียงเพราะคุณไม่ได้ตั้งค่าใบรับรอง SSL ในบล็อกส่วนตัวของคุณ

— Rana Prathap

1

นี่คือมุมที่คุณอาจไม่ได้พิจารณา: การไม่ใช้ SSL / TLS สามารถทำให้ผู้ใช้ของคุณได้รับการตรวจสอบแบบพาสซีฟแม้ว่าไซต์ของคุณจะไม่มีการลงชื่อเข้าใช้ก็ตาม

นักแสดงภัยคุกคามอาจนั่งระหว่างผู้ใช้ของคุณกับอินเทอร์เน็ตที่เหลือดู URL ทั้งหมดที่ผู้ใช้ร้องขอและรูปแบบการสร้างสิ่งที่ผู้ใช้กำลังดูอยู่ บิตของข้อมูลแต่ละอันอาจไม่มีนัยสำคัญในการแยก แต่การรวมข้อมูลจำนวนเล็กน้อยจำนวนมากสามารถสร้างภาพที่ใหญ่กว่ามาก

ด้วยเหตุนี้ฉันจึงเสนอ HTTPS ในเว็บไซต์ของฉันเองซึ่งมีเฉพาะเนื้อหาแบบคงที่

— Zigg
แหล่งที่มา