Обойтись без SSL-сертификатов?

Question

Я работаю над небольшим сайтом для местной церкви. Сайт должен позволять администраторам редактировать контент и публиковать новые события / обновления. Единственной «безопасной» информацией, управляемой сайтом, будет информация для входа администратора и церковный каталог с номерами телефонов и адресами.

Как бы я рисковал, если бы мне пришлось обходиться без SSL и просто позволить пользователям входить в систему по прямому HTTP? Обычно я бы даже не подумал об этом, но это маленькая церковь, и им нужно экономить деньги везде, где это возможно.

Answer 1

Так как только ваши администраторы будут использовать безопасный сеанс, просто используйте самозаверяющий сертификат. Это не лучший пользовательский опыт, но лучше хранить эту информацию в безопасности.

Answer 2

Используйте HTTPS с бесплатным сертификатом. StartCom бесплатен и включен в браузеры Firefox; поскольку только ваши администраторы будут входить в систему, они могут легко импортировать CA, если они хотят использовать IE.

Не экономьте на безопасности. Как ни странно, я видел сайты, которые звучат так же, как и ваши, только для того, чтобы пнуть. Этого стоит избегать.

Answer 3

В сценарии, который вы описываете, обычные пользователи будут подвергаться перехвату сеансов, и вся их информация будет также передаваться "в открытом виде". Если вы не используете доверенный ЦС, администраторы могут подвергнуться атаке «Человек посередине».

Вместо самоподписанного сертификата вы можете рассмотреть возможность использования сертификата от CAcert и установки их корневых сертификатов в браузере администратора.

Answer 4

Что ж, если вы не используете SSL, вы всегда будете подвергаться большему риску для тех, кто пытается перехватить ваши пароли. Возможно, вам просто нужно оценить фактор риска вашего сайта.

Также помните, что даже наличие SSL не гарантирует безопасности ваших данных. Все дело в том, как вы его кодируете, чтобы обеспечить дополнительную защиту своему сайту.

Я бы предложил использовать алгоритм одностороннего шифрования пароля и проверить его таким образом.

Кроме того, вы можете получить SSL-сертификаты по-настоящему дешево, я уже пользовался Geotrust и получил сертификат на 250,00. Я уверен, что есть те, которые дешевле.

Answer 5

Реально, гораздо более вероятно, что один из компьютеров, используемых для доступа к веб-сайту, будет скомпрометирован кейлоггером, чем HTTP-соединение будет прослушано.

Answer 6

Простой HTTP уязвим для сниффинга. Если вы не хотите покупать SSL-сертификаты, вы можете использовать самозаверяющие сертификаты и попросить своих клиентов доверять этому сертификату, чтобы обойти предупреждение, отображаемое браузером (поскольку ваши аутентифицированные пользователи - это всего лишь несколько известных администраторов, этот подход делает идеальным чувство).