我正在努力部署一个小型社区网站。用户注册只需要用户名,电子邮件地址和密码。我甚至都没有要求提供名称,当然也没有存储任何敏感数据。
我还应该投资SSL证书吗?在没有用户密码的情况下传输用户密码会被视为可怕的做法吗?
这只是一个个人项目,所以如果可以的话,我想避免额外的费用,但如果我没有正确保护一切,我会情不自禁地觉得自己是不负责任的。
答案 0 :(得分:6)
我建议您在用户向您的网站提交密码时获取SSL证书并要求https。虽然您的用户不会传输任何敏感信息,但仍有一个重要原因:许多人对他们访问的每个网站都使用相同的用户名和密码,如果有人在开放式无线网络的咖啡店使用笔记本电脑,您应该尽一切力量保护他们和他们的身份安全。
如果成本是个问题,那么妥协就是CACert。在大多数浏览器中,默认情况下,他们的证书不受信任,但任何具有可验证身份的人都可以免费获得证书。
答案 1 :(得分:4)
只要您不介意一个人可以冒充另一个人,或者在途中嗅探数据,那么您就不需要SSL。
您可以尝试在没有SSL的情况下尽可能安全地创建网站。但是,如果您不确切知道后果是什么,将会暴露什么,以及如何在没有SSL的情况下保护它,这将是非常危险的。在某些情况下,甚至可能无法实现真正的保护。
此外,请记住,人们经常为多个帐户使用一个密码。这意味着数据库中的许多密码将与用户银行,电子邮件,网络等相同。
如果您让人们为您存储密码,您必须负责保护密码,即使您自己网站的安全性并不重要。
我建议花20美元买一个godaddy证书,只是为了确定。另外,请务必阅读会话安全性和安全身份验证方法。
答案 2 :(得分:2)
感谢您的回复。我想我确信花一点钱来保护人们的密码是值得的。
我确实考虑过使用OpenID。可能不会是初始版本的一部分,但我可能会在以后添加对它的支持。我会质疑我的观众对OpenID概念的理解程度。我认为由于受众的性质,它适用于SO。我很难要求普通大众传达热情,以获得OpenID,只是为了使用可能非常适度的网站。
答案 3 :(得分:1)
我不会因此而烦恼SSL。
考虑一下......互联网上有一百万个留言板,但没有一个使用SSL。
除非您存储信用卡号码或其他敏感的财务/个人信息,否则我认为这不值得花费。
答案 4 :(得分:0)
只要您的用户不提供任何信用卡或其他个人信息,我也不会为证书付费。
但如果它是一个社交网站,那么我会考虑购买一个。
答案 5 :(得分:0)
可能没有用,但有些SSL提供商比其他提供商便宜www.instantssl.com比较便宜。此外,一些主机允许您使用共享证书,您可以将这些仅用于登录过程,尽管您的域将不在地址栏中,至少流量将被加密,
答案 6 :(得分:0)
SSL可能有点过头了。
鼓励用户不要使用他们用来存储敏感信息的密码!您可能不会存储任何重要的内容,但如果“kitty37”也是他们银行帐户的关键,那么事情就会变得糟糕......
这让我想起了 - 人们应该查看CMU的Perspectives项目,该项目试图解决自签名证书一方面难以使用的问题,以及“官方”证书可能伪造的问题,另一方面,通过使用共识监控服务来跟踪大量安全证书,并观察它们是否正在发生变化等。
他们有一个Firefox扩展,所以它很容易使用(还有一个openSSH客户端)。 http://www.cs.cmu.edu/~perspectives/
答案 7 :(得分:0)
投资小型社区网站的SSL证书将浪费您的资金。我相信花时间更好地确保用户注册和登录页面易于访问和理解,允许用户有足够的时间和空间来查看他们是否会保持登录状态。如果你总是将这样的参数设置为不,这个例子不会成为问题。
如果我们正在处理一个大型网站,那么获得一个网站也许是一个好主意。您是否考虑过使用OpenID作为用户登录的方式?它似乎对这个网站运作得相当好,所以为什么不自己实现呢?
答案 8 :(得分:0)
SSl部分可能有点过分,更糟糕的是它变成了“货物崇拜安全”的真正诱惑 - 你做的事情听起来像是安全但却没有真正增加任何东西。
您最好考虑如何确保构建强化的网站,并使您的安全补丁保持最新。
哦,有一件事:热门用户他们没有使用安全密码,因此他们不会使用他们在所有银行网站上使用他们喜欢的“joe”密码。
答案 9 :(得分:0)
如果您只想识别用户,为什么不允许像stackoverflow这样的OpenID呢? ;) http://openid.net/