Нужен ли мне SSL-сертификат для простого сайта сообщества?

Question

Я работаю над развертыванием небольшого сайта сообщества. Регистрация пользователя не требует ничего, кроме имени пользователя, адреса электронной почты и пароля. Я даже не спрашиваю имя и, конечно, не храню конфиденциальные данные.

Должен ли я по-прежнему инвестировать в SSL-сертификат? Будет ли считаться ужасной практикой передавать пароль пользователя без него?

Это всего лишь личный проект, поэтому я хотел бы избежать дополнительных затрат, если бы мог, но я не могу помочь, но чувствую, что буду безответственным, если не обеспечу все должным образом.

Answer 1

Я бы порекомендовал получить сертификат SSL и требовать https каждый раз, когда пользователи отправляют пароль на ваш сайт. Хотя ваши пользователи не будут передавать конфиденциальную информацию, для этого есть еще одна серьезная причина: многие люди используют одно и то же имя пользователя и пароль для каждого посещаемого ими сайта, и если кто-то использует ноутбук в кафе по открытой беспроводной сети, вам следует делайте все возможное, чтобы сохранить их и их личность в безопасности.

Если цена является проблемой, хорошим компромиссом будет CACert . Их сертификаты по умолчанию не являются доверенными в большинстве браузеров (пока), но любой с проверяемой личностью может получить сертификат от них бесплатно.

Answer 2

Пока вы не возражаете против того, чтобы один человек мог выдать себя за другого или прослушать данные в пути, вам не нужен SSL.

Вы можете попытаться создать сайт максимально безопасным без SSL. Тем не менее, это очень опасно, если вы не знаете ТОЧНО, каковы последствия, и что будет раскрыто, и как защитить его без SSL. В некоторых случаях реальная защита может быть невозможна.

Также помните, что люди часто используют один пароль для нескольких учетных записей. Это означает, что многие пароли в вашей базе данных будут такими же, как в банке пользователей, электронной почте, сети и т. Д.

Если вы разрешаете людям хранить пароль у вас, вы должны взять на себя ответственность за его защиту, даже если безопасность вашего собственного сайта не критична.

Я бы порекомендовал потратить 20 долларов на сертификат чертовски, просто чтобы быть уверенным. Кроме того, обязательно ознакомьтесь с методами безопасности сеанса и безопасной аутентификации.

Answer 3

Спасибо за ваши ответы. Я думаю, что был убежден, что потратить немного денег на защиту паролей людей стоит.

Я думал об использовании OpenID. Вероятно, не будет частью первоначального выпуска, но я могу добавить поддержку для него позже. Я бы спросил, насколько хорошо моя аудитория будет понимать концепцию OpenID. Я думаю, что это хорошо работает для SO из-за характера аудитории. Я с трудом прошу население в целом вызвать энтузиазм, чтобы получить OpenID только для того, чтобы использовать, вероятно, очень скромный сайт.

Answer 4

Я бы не стал использовать SSL для чего-то подобного.

Подумайте об этом ... в Интернете существует миллион досок объявлений, и ни одна из них не использует SSL.

Если вы не храните номера кредитных карт или другую конфиденциальную финансовую / личную информацию, я просто не думаю, что она того стоит.

Answer 5

Если вы просто хотите идентифицировать пользователя, почему бы не разрешить OpenID, как это делает stackoverflow? ;) http://openid.net/

Answer 6

Часть SSl, вероятно, излишня, и, что еще хуже, она становится настоящим соблазном для "безопасности культа груза" - когда вы делаете что-то, что звучит как безопасность, но на самом деле ничего не добавляет.

Вам лучше подумать о том, как убедиться, что вы создаете защищенный сайт, и поддерживать исправления безопасности в актуальном состоянии.

Да, и одно: теплые пользователи не используют безопасные пароли, поэтому они не используют свой любимый пароль "joe", который они используют на всех своих банковских сайтах.

Answer 7

Вложение денег в SSL-сертификат для небольшого сайта сообщества было бы пустой тратой. Я считаю, что было бы лучше потратить время на обеспечение легкого доступа и понимания страниц регистрации и входа в систему, чтобы у пользователя было достаточно времени и места, чтобы посмотреть, останутся ли они в системе. нет, тогда этот пример не будет проблемой.

Если бы мы имели дело с большим веб-сайтом, то, возможно, было бы неплохо получить его. Рассматривали ли вы использование OpenID в качестве средства для входа пользователей? Кажется, он работает достаточно хорошо для этого сайта, так почему бы не реализовать его самостоятельно?

Answer 8

SSL, вероятно, излишне для этого.

Поощряйте своих пользователей не использовать пароли, которые они используют для хранения своей конфиденциальной информации! Вы можете не хранить ничего важного, но если «китти37» также является ключом к их банковскому счету, все может испортиться.

Это напоминает мне - ребята должны проверить проект Perspectives из CMU, который пытается решить проблему самозаверяющих сертификатов, которые, с одной стороны, слишком сложны в использовании, а «официальные» сертификаты потенциально подделываются, другая - с помощью службы мониторинга консенсуса, которая отслеживает большое количество сертификатов безопасности и отслеживает их изменение и т. д.

У них есть расширение Firefox, поэтому его очень легко использовать (есть также клиент openSSH). http://www.cs.cmu.edu/~perspectives/

Answer 9

Возможно, не полезно, но некоторые SSL-провайдеры дешевле, чем другие. Например, www.instantssl.com сравнительно недорог. Также некоторые хосты позволяют вам использовать общие сертификаты, вы можете использовать их только для процесса входа в систему, хотя ваш домен не будет находиться в адресной строке, по крайней мере, трафик будет зашифрован,

Answer 10

Пока ваши пользователи не предоставляют кредитную карту или другую личную информацию, я бы не стал оплачивать сертификат.

Но если бы это был сайт социальной сети, то я бы подумал о том, чтобы его получить.