Стоит ли использовать https, если вы не совершаете финансовые транзакции?

Question

Эй, быстрый вопрос для любых экспертов. У меня есть сайт, который позволяет пользователям взаимодействовать через сообщения, и для регистрации вам нужно просто ввести имя пользователя и пароль, подтвердить свой возраст и, при желании, добавить электронное письмо. Я полагаю, что нет никакой конфиденциальной информации. Стоит ли использовать https. Будет ли это мешать сессионному хай-джеккингу и будет ли это мешать производительности?

Answer 1

Каждый раз, когда вы используете имя пользователя / пароль, вы должны абсолютно обезопасить весь сеанс с HTTPS. Стоимость для вас довольно мала по сравнению с потенциальной стоимостью для ваших пользователей, если их пароли будут раскрыты. Исследование последовательно показывает , что люди используют один и тот же пароль почти для каждой системы, к которой они получают доступ.

Кроме того, помимо риска раскрытия пароля, учтите, что ваш сайт является средством коммуникации. Каков потенциальный риск или вред для ваших пользователей, выдаваемых за себя? Из-за того, что вредоносные сообщения отправлены под их личностью?

Это просто не стоит риска. Зафиксируйте транспортировку как минимум.

Answer 2

Я думаю, что, как только у вас будет какая-то обработка логина, вы должны защитить пароль пользователя. Вы можете сделать это либо через https, либо используя http-дайджест-аутентификацию.

Мое главное замечание в отношении шифрования заключается в том, что многие пользователи будут иметь такой же пароль к вашему сайту, как и к своему банковскому счету или что-то подобное. Даже если информация на вашем сайте не является конфиденциальной, пароли действительно могут защитить что-то важное.

Answer 3

Да, SSL / TLS требуется для обеспечения безопасного сеанса с проверкой подлинности. Если у вас есть логин, то пост входа в систему и ВСЯ СЕССИЯ должны быть защищены https. Пересылать весь трафик на https проще и безопаснее, даже если у вас простое веб-приложение.

Проблема заключается в том, что идентификатор сеанса (cookie) может быть пропущен при использовании http. Если этот сеанс аутентифицирован, то хакер может использовать этот идентификатор сеанса для аутентификации на сервере без имени пользователя и пароля.

Это четкое требование OWASP top 10 A3: «Сломанная аутентификация и управление сеансами» http://www.owasp.org/images/0/0f/OWASP_T10_-_2010_rc1.pdf

Отправка cookie через http также является нарушением CWE-614 и CWE-311 .

Answer 4

Это того стоит, по крайней мере, если вы передаете пароли и адреса электронной почты или любую другую личную или личную информацию. Перехват сеанса возможен, если существует любое не-HTTPS-соединение, но это риск, который многие веб-сайты готовы принять, и зависит от вашей ситуации.

Проблемы с производительностью зависят от вашего оборудования и вашего стека, но "HTTPS против HTTP" будет иметь "некоторое" снижение производительности. Недостаточно помешать вам защитить пароли и конфиденциальную информацию пользователя.

Answer 5

Однако для некоторых людей пароли и возраст могут считаться конфиденциальной информацией. Готовы ли вы иметь дело с некоторыми людьми, которые могут отличаться от вас?

Answer 6

Я думал об этом и раньше. Я думаю, что вам нужно безопасное соединение, когда пользователи входят или меняют информацию.