Обязательно ли использовать SSL?

Question

Я разрабатываю веб-сайт для брокера (JSF 2 + richfaces + oracle 10g), и я хотел бы узнать ваше мнение по поводу HTTPS (потому что я думаю, что в моем случае это не нужно, поскольку пользователь не дастлюбые важные детали).

Итак:

• чтобы зайти на сайт, пользователь должен идентифицировать себя (используя JAAS)
• есть страница с данными о фондовом рынке (это финансовые данныетак что это не так важно)
• пользователь может покупать / продавать акции: он дает количество, цену, счет (не банковский счет), для которого он будет покупать / продавать
• пользователь можетувидеть его счета, какие акции он имеет, прошлые операции и т. д.

Answer 1

Да, это точно звучит так.Аутентификация обычно включает отправку комбинации имени пользователя и пароля на сервер.Это никогда не должно быть сделано в виде открытого текста, так что одно только требование сделает SSL хорошей идеей.Кроме того, покупка и продажа акций звучит как то, что вы хотели бы сделать безопасным образом.Наличие защищенного SSL сайта не означает, что вы должны написать одну строку кода.Это просто вопрос покупки ssl-сертификата и настройки вашего веб-сервера.

Answer 2

Я думаю, что это действительно необходимо, поскольку это связано с реальными деньгами. Даже если пользователь не раскрывает никаких подробностей, между пользователем и вашим сервером все равно могут быть атаки типа «человек посередине», которые позволят любому получить доступ к серверу с его учетными данными.

Если это не связано с реальными деньгами (они не написаны четко), то вам не обязательно это нужно.

Answer 3

Не существует «хорошего» способа получения токенов аутентификации (в вашем случае паролей) без использования HTTPS или системы одноразовых паролей.

В любом случае, я бы хотел, чтобы этот тип доступа был защищен HTTPS, иначе я бы ему не доверял.

Answer 4

Если пользователь передает что-то чувствительное (и я бы сказал, что номер для торгового счета акций чрезвычайно чувствителен), то HTTPS имеет решающее значение, на мой взгляд.

То, как я вижу то, что вы описали, показывает, что пользователь идентифицирует себя, а затем вы в основном передаете всю информацию о его / ее аккаунте через Интернет. Определенно обеспечьте это как можно больше.