SSL çoğu web sitesi için gerçekten önemli mi?

11

Yaptığım bu site için "güvenliği doğru yapmayı" öğrenmek konusunda oldukça paranoyak oldum (yaptığım ilk önemsiz site) ve beni rahatsız eden bir şey fark ettim: SSL.

Burada, StackOverflow üzerinde ve n kullanımdan sonra oturum kimliklerini yeniden oluşturma ve parolalarınızın tuzlanması, hashed edilmesi ve asla düz metin olarak saklanması gerekmeyen uzun bir süre devam eden başka yerlerde birçok güvenlik iş parçacığı okudum. IP adreslerini, kullanıcı aracılarını ve izleme çerezlerini kullanarak bir oturumun ele geçirildiği zaman nasıl tespit edileceği hakkında çok şey okudum.

Anlamadığım şey, web sitesi sizi normal bir HTTP POST aracılığıyla oturum açtığında ve şifrenizi tel üzerinden düz metin olarak gönderdiğinde bunların ne önemi var?

Listelediğim diğer tüm yöntemlerin genel maruziyetinizi azaltmak için gerekli olduğunu anlıyorum ve belki de zaten bu kadar güvenliğe ihtiyaç duymayan bazı siteler var, ama sorduğum şey:

  • SSL ile uğraşmamak ne zaman uygun olur?

Gmail, bankanız ve LinkedIn gibi siteler, SSL kullanmak için bir nedene sahip olduğunu görebiliyorum, ancak Facebook ve reddit gibi sitelerin rahatsız etmemesini sağlayan şey nedir (cehennem, PlentyOfFish şifrenizi düz metin olarak saklar ve hatta e-posta ile gönderir) hatırlatma olarak size haftalık!?!)?

SSL'nin ayarlandığından emin olmak için ne kadar endişeliyim (özellikle paylaşılan bir ana bilgisayarla başlayacağım ve başlamak için oldukça ucuz olduğum için)? Sitem, yardımcı olursa, herhangi bir kişisel bilgi tutmaz. Site başarılı olursa, ek güvenlik için fazladan ödeme yapmaya ciddiyim.

https  security  authentication 
AgentConundrum
kaynak

Yanıtlar:

7

Sizin ve kullanıcılarınızın önemli olduğunu düşündüğü kadar önemlidir. Parolaları http üzerinden düz metin olarak göndermek, onları paket koklamasına karşı savunmasız bırakır. Şimdi birisinin bu paketleri koklamayı gerçekten rahatsız edip etmeyeceği başka bir hikaye. Kullanıcılarınıza mümkün olan en güvenli deneyimi sağlamak istiyorsanız, oturum açma gönderimleri için SSL kullanın. Kullanıcılarınızın web sitenizle olumlu bir şekilde etkileşime girme olasılığının daha yüksek olacağını düşünüyorsanız (ör. Bir şeyler satın alın, bir şeyler yapın, vb.) Sonra giriş gönderimleri için SSL kullanın. Çalmaya değer bir şeyiniz varsa (ör. Kullanıcı bilgileri) SSL kullanın.

Çalmaya değecek bir şeyiniz yoksa, SSL'nin güvenliği çok fazla veya hiç artıracağını düşünmeyin ya da kullanıcılarınız bunu yararlı bir özellik olarak görmeyecektir, o zaman SSL kullanmamayı düşünebilirsiniz.

Kısıtlı bir bütçede değilseniz, SSL sertifikası yüklemenin maliyeti ne olursa olsun, bir sitenin girişini güvence altına almak asla kötü bir şey değildir. Birçok büyük sitenin en iyi uygulamaları takip etmesine gerek olmadığından, diğer sitelerin sizi etkilemesine izin vermeyin.

John Conde
kaynak
1
+1 "çok daha büyük siteler en iyi uygulamaları takip etmek zorunda değildir" - Nijeryalı 419'ers çalıntı arkadaşlık sitesi profillerinden para kazanmanın bir yolunu bulduğunda bazı gülünç başlıklar olacağına eminim :)
danlefree
"Eğer parayla bütçeniz yoksa" - ama öyleyim. Gerçekten, gerçekten, m + m yerine bir yıl peşin ödemek için ayda çok daha az ödeme yerine ucuz paylaşılan bir ana bilgisayar üzerinde gidiş düşünüyor noktaya. Bu şekilde, site nispeten hızlı bir şekilde kendisi için ödeme yapmaya başlamazsa fişi çekebilirim. Şimdilik tek başına ihtiyaç duyulan statik ipi almak, sertifikanın kendisinin maliyetinden bahsetmemek üzere neredeyse aylık maliyetimi iki katına çıkaracağı için no-ssl'e doğru eğildiğimi düşünüyorum. Site bir forum olmaya oldukça yakındır ve çoğu veri herkese açıktır, bu nedenle oturum açma dışında şifrelemeye gerek yoktur.
AgentConundrum
@danlefree, bu kolay. Kullanıcıların e-posta ve bankacılık sitesi için şifre kurtarma sorularını cevaplamak üzere arkadaşlık sitelerindeki kişisel bilgileri kullanın. Ya da sadece şifreleri ele geçirin, çünkü insanlar şifrelerini çok kullanırlar.
Zoredache
@AgentConundrum Startssl ücretsiz bir SSL sertifikası sunar. Kısıtlı bir bütçeniz varsa ancak statik bir IP'niz varsa, bunun için gidebilirsiniz.
Rana Prathap
@AgentConundrum, ana makineniz SNI'yi desteklediği sürece (ve yapmıyorlarsa, ne yaptıklarını bilmedikleri için yeni bir ana bilgisayar bulun) SSL için artık özel bir IP'ye ihtiyacınız yoktur. Ücretsiz bir sertifika alabilirsiniz, bu da ek bir maliyet değil ...
Doktor J
3

John'un cevabına zıt yaklaşımı göz önünde bulundurarak, kişisel olarak tanımlanabilir herhangi bir bilgiyi ele alırsanız SSL'yi ciddiye almanız gerektiğini düşünüyorum - dahil etmek için: fiziksel adreslere sahip adlar, e-posta adresleri, finansal bilgiler ve kullanıcıların makul olarak özel olmasını beklediği iletişimler .

Siteniz kullanıcıların kendileri hakkında bilgi yayınlaması için bir araç sağlamadığı sürece, kullanıcılarınızın sizin tarafınızdan tutulması ve sizin sitenizin gizlilik politikası kullanıcılarınızı aksini bildirmediği sürece yalnızca sizin tarafınızdan tutulan kişisel olarak tanımlanabilir bilgileri göz önünde bulundurmalısınız.

Yetkisiz üçüncü tarafların ziyaretçilerinizin bilgilerini görmesini engelleyin ve kullanıcılarınızı ziyaretçilerinizin güvenini korumak için bilgilerini nasıl kullandığınız konusunda bilgilendirin.

Facebook bile bunu söyleyebildiğim kadarıyla yapıyor.

<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form" onsubmit=";var d=document.documentElement;if (d.onsubmit) { return d.onsubmit(event); }else { return Event.fire(d, &quot;submit&quot;, event); }">

(Facebook.com giriş HTML kaynağı)

danlefree
kaynak
Garip. Facebook için bunu nasıl fark etmediğimi bilmiyorum. Ben HTTPFox bakıyordu ve bir şekilde ilk istek üzerine 's' özledim. Bunu kaldırmak için düzenleyeceğim. Aslında hala birçok site bunu yapıyor (reddit, hacker haberleri, TDWTF, vb.), Bu yüzden en kötüsü onlardan daha iyi olmayacağım. Bütçe benim için büyük bir endişe, bu yüzden statik bir IP (8 $ / ay ev sahibi ...) için fazladan 5 $ / ay harcamak yanı sıra iyi bir sertifika satın almak .. Neredeyse lanet inşa değil düşünecektim bir site.
AgentConundrum
@AgentConundrum - Kesinlikle o HTTP üzerinden tek yönlü karma algoritması aracılığıyla şifre çalıştırmak geçmek Tamam, konuşma eğer ben de kullanan olmayan sitelerde MD5 hash uygulamasını görmek sürpriz olmaz böylece, şifre tuzlu edilir SSL: pajhome.org.uk/crypt/md5
danlefree
ve müşteri tarafında bir karma oluşturmak herhangi bir şeye nasıl yardımcı olur? Bu durumda, temelde karma paroladır . Bir hash yakalayabilmeli ve bir şifreyi yakalayabildiğim kadar kolayca tekrarlayabilmeliyim.
Zoredache
1
@Zoredache Bu yüzden karma tuzlanmalıdır . Nasıl çalışır: Giriş sayfasını sunucudan bir çağrı içeren önceden doldurulmuş bir jetonla gönderirim microtime(). İletilen karma şifreniz + şifrenizin bir kombinasyonudur microtime()ve karma aldığınızda, microtime()+ şifre sorgulama / yanıt çiftini geçersiz kılarım (tekrar kullanılamaz).
danlefree
3

Ağustos 2014 itibariyle Google, HTTPS'nin bir sıralama sinyali olarak kullanılacağını resmen belirtti .

Bu, web siteniz tamamen statik bir web sitesi olsa bile, SEO'yu önemsiyorsanız en azından bir SSL sertifikası oluşturmayı düşünmeniz gerektiği anlamına gelir.

Tabii ki HTTPS, yüzlerce sıralamanın sadece bir tanesidir, bu yüzden SEO için yapabileceğiniz daha önemli şeyler vardır.

kqw
kaynak
Google ayrıca, bir SSL sertifikası oluşturmanın kaynak gerektirdiğinden, bunu yalnızca web siteniz talep ederse yapmanız gerektiğini duyurdu. Kısacası, kişisel blogunuzda bir SSL sertifikası ayarlamadığınız için sıralamalarınızın etkilenmeyeceğini belirttiler.
Rana Prathap
1

Dikkate almamanız gereken bir açı: SSL / TLS kullanmamak, sitenizde oturum açmamış olsa bile kullanıcılarınızı pasif izlemeye maruz bırakabilir.

Bir tehdit aktörü, kullanıcının istediği tüm URL'leri izleyerek ve kullanıcının görüntülediği şeylerin kalıplarını oluşturarak, kullanıcı ile İnternetin geri kalanı arasında oturabilir. Bireysel bilgi bitleri gerçekten de izolasyonda önemsiz olabilir, ancak çok sayıda küçük bilgi parçasını birleştirmek çok daha büyük bir resim oluşturabilir.

Bu nedenle HTTPS'yi yalnızca statik içerik sağlayan kendi sitemde sunuyorum.

zigg
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.