Czy protokół SSL naprawdę ma znaczenie dla większości witryn?

Byłem dość paranoikiem, jeśli chodzi o naukę „poprawiania bezpieczeństwa” dla tej witryny, którą buduję (pierwsza nietrywialna strona, którą stworzyłem) i zauważyłem coś, co mnie niepokoi: SSL.

Przeczytałem tutaj wiele wątków dotyczących bezpieczeństwa, na StackOverflow, i gdzie indziej, które szczegółowo omawiają regenerację identyfikatorów sesji po n użyciu i jak twoje hasła powinny być solone, mieszane i nigdy nie przechowywane w postaci zwykłego tekstu. Czytałem dużo o tym, jak wykryć, kiedy sesja została przejęta, śledząc adresy IP, programy użytkownika i używając śledzących plików cookie.

Nie rozumiem, co to ma znaczenie, gdy strona loguje się za pomocą zwykłego testu POST HTTP i wysyła Twoje hasło za pośrednictwem zwykłego tekstu?

Rozumiem, że wszystkie inne metody, które wymieniłem, są potrzebne, aby zmniejszyć ogólną ekspozycję, i być może są strony, które i tak nie potrzebują tak dużego bezpieczeństwa, ale myślę, że o to pytam:

• Kiedy można nie przejmować się protokołem SSL?

Witryny takie jak Gmail, Twój bank i LinkedIn, widzę powód do korzystania z protokołu SSL, ale co sprawia, że ​​nie przeszkadza to, że strony takie jak Facebook i Reddit (cholera, PlentyOfFish nawet przechowuje twoje hasło w postaci zwykłego tekstu, a nawet je e-mailem dla Ciebie co tydzień jako przypomnienie!?!)?

Jak powinienem się martwić upewnieniem się, że SSL jest skonfigurowany (zwłaszcza, że ​​zaczynam od hosta współdzielonego, a startowanie jest dość tanie)? Moja strona nie będzie przechowywać żadnych szczególnie osobistych informacji, jeśli to pomoże. Jeśli witryna odniesie sukces, poważnie zastanowię się nad zapłaceniem dodatkowo za dodatkowe bezpieczeństwo.

Ma to takie samo znaczenie, jak Ty i Twoi użytkownicy. Wysyłanie haseł przez http jako zwykły tekst powoduje, że są one podatne na węszenie pakietów. To, czy ktoś będzie chciał zawęzić węszenie tych pakietów, to zupełnie inna historia. Jeśli chcesz zapewnić swoim użytkownikom najwyższy poziom bezpieczeństwa, użyj protokołu SSL do przesyłania danych logowania. Jeśli uważasz, że Twoi użytkownicy będą szczęśliwsi i bardziej skłonni do pozytywnej interakcji z Twoją witryną (np. Kupuj rzeczy, rób rzeczy itp.), Użyj protokołu SSL do przesyłania danych logowania. Jeśli masz coś, co warto ukraść (np. Informacje o użytkowniku), użyj SSL.

Jeśli nie masz nic wartego kradzieży, nie sądzę, że SSL znacznie poprawi bezpieczeństwo w ogóle lub w ogóle, albo użytkownicy nie postrzegają go jako przydatnej funkcji, możesz rozważyć użycie SSL.

Za to, ile kosztuje zainstalowanie certyfikatu SSL, chyba że masz ograniczony budżet, zabezpieczenie logowania na stronie nigdy nie jest złe. I nie pozwól, aby działania innych stron wpływały na Ciebie, ponieważ wiele większych witryn nie musi przestrzegać najlepszych praktyk, dlatego wydaje się, że istnieje stały strumień wiadomości o tym, że ktoś jest w jakiś sposób narażony na szwank.

Biorąc odwrotne podejście do odpowiedzi Johna, uważam, że powinieneś poważnie rozważyć SSL, jeśli posługujesz się jakimikolwiek danymi osobowymi - w tym: imiona i nazwiska z adresami fizycznymi, adresami e-mail, informacjami finansowymi i komunikacją, których użytkownicy mogliby oczekiwać, że będą prywatni .

O ile witryna nie zapewnia użytkownikom możliwości publikowania informacji o sobie, należy wziąć pod uwagę wszelkie informacje umożliwiające identyfikację użytkownika dostarczone przez użytkowników, które są przechowywane przez użytkownika, a użytkownik jest ściśle poufny, chyba że polityka prywatności witryny informuje użytkowników inaczej.

Zapobiegaj nieuprawnionym stronom trzecim zobaczenia informacji o odwiedzających i informuj użytkowników o tym, w jaki sposób wykorzystujesz ich informacje w celu utrzymania zaufania użytkowników.

O ile wiem, robi to nawet Facebook.

<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form" onsubmit=";var d=document.documentElement;if (d.onsubmit) { return d.onsubmit(event); }else { return Event.fire(d, &quot;submit&quot;, event); }">

(Źródło HTML logowania do Facebook.com)

W sierpniu 2014 r. Google oficjalnie wskazał, że HTTPS będzie wykorzystywany jako sygnał rankingowy.

Oznacza to, że nawet jeśli Twoja witryna jest witryną całkowicie statyczną, jeśli zależy Ci na SEO, powinieneś przynajmniej rozważyć utworzenie certyfikatu SSL.

Oczywiście HTTPS to tylko jeden z setek sygnałów rankingowych, więc są prawdopodobnie ważniejsze rzeczy, które możesz zrobić dla SEO.

Oto kąt, którego mogłeś nie wziąć pod uwagę: niestosowanie protokołu SSL / TLS może narazić użytkowników na pasywne monitorowanie, nawet jeśli witryna nie ma loginów.

Osoba atakująca może po prostu siedzieć między użytkownikiem a resztą Internetu, obserwując wszystkie adresy URL żądane przez użytkownika i budując wzorce rzeczy, które przegląda użytkownik. Poszczególne fragmenty informacji mogą rzeczywiście być nieznaczne w oderwaniu, ale połączenie wielu małych fragmentów informacji może stworzyć znacznie większy obraz.

Z tego powodu oferuję HTTPS na mojej własnej stronie, która zapewnia tylko treść statyczną.