Действительно ли стоит использовать https, если Вы не делаете финансовых транзакций?
Эй просто быстрый вопрос для любых экспертов там. У меня есть сайт, который позволяет пользователям взаимодействовать через сообщения, и подписать Вас просто делает имя пользователя и пароль, проверяет Ваш возраст, и дополнительно, добавляет электронное письмо. Нет действительно никакой уязвимой информации, которую я предполагаю. Действительно ли стоит использовать https. Это предотвратит сессию, привет поднимающую, и это препятствует производительности?
6 ответов
Каждый раз, когда вы используете имя пользователя / пароль, вы должны полностью защитить весь сеанс с помощью HTTPS. Затраты для вас довольно незначительны по сравнению с потенциальными затратами для ваших пользователей, если их пароли будут раскрыты. Исследование неизменно показывает , что люди используют один и тот же пароль почти для каждой системы, к которой они обращаются.
Кроме того, помимо риска раскрытия пароля, помните, что ваш сайт является средством коммуникации. Каков потенциальный риск или вред для ваших пользователей, если они выдадут себя за другое лицо? Из-за того, что вредоносные сообщения отправляются под их личным именем?
Это просто не стоит риска. По крайней мере, обезопасьте транспорт.
Однако для некоторых людей пароли и возраст считаются конфиденциальной информацией. Готовы ли вы иметь дело с людьми, у которых может быть иное мнение, чем у вас?
Это того стоит, как минимум, если вы передаете пароли и адреса электронной почты или любую другую личную или личную информацию. Захват сеанса возможен при любом не-HTTPS-соединении, но это риск, который многие веб-сайты готовы принять, и это зависит от вашей ситуации.
Проблемы с производительностью зависят от вашего оборудования и стека, но HTTPS по сравнению с HTTP может "немного" снизить производительность. Недостаточно просто помешать вам защитить пароли и конфиденциальную информацию пользователей.
Я тоже думал об этом раньше. Я думаю, вам понадобится безопасное соединение, когда пользователи входят в систему или меняют информацию.
Я думаю, что как только у вас есть какой-то вид обработки входа, вы должны защитить пароль пользователя. Вы можете сделать это либо через https, либо используя http digest authentication.
Мое главное замечание по поводу шифрования заключается в том, что у многих ваших пользователей будет такой же пароль к вашему сайту, как и к банковскому счету или чему-то подобному. Даже если информация на вашем сайте не является конфиденциальной, пароли могут действительно защищать что-то важное.
Да, SSL / TLS требуется для поддержания сеанса с безопасной аутентификацией. Если у вас есть логин, то его сообщение и ВЕСЬ СЕССИЯ должна быть защищена https. Перенаправлять весь трафик на https проще и безопаснее, даже если у вас есть простое веб-приложение.
Проблема в том, что идентификатор сеанса (cookie) может просочиться, если вы используете http. Если этот сеанс аутентифицирован, хакер может использовать этот идентификатор сеанса для аутентификации на сервере без имени пользователя и пароля.
Это четкое требование топ-10 OWASP A3: «Сломанная аутентификация и управление сеансом» http://www.owasp.org/images/0/0f/OWASP_T10_-_2010_rc1.pdf
Отправка файлов cookie через http также является нарушением CWE-614 и CWE-311 .