我正在为经纪人开发一个网站(JSF 2 + richfaces + oracle 10g),我希望得到你对HTTPS的看法(因为我觉得在我的情况下没有必要,因为用户不会给任何重要的细节)。
所以:
在我的情况下是否有必要使用SSL?
答案 0 :(得分:7)
是的,确实听起来像。身份验证通常涉及向服务器发送用户名/密码组合。这应该从不以明文形式完成,因此仅凭需求就可以使SSL成为一个好主意。此外,购买和出售股票听起来像是你想以安全的方式做的事情。
我甚至不明白你的顾虑是什么。拥有受SSL保护的网站并不意味着您必须编写一行代码。这只是购买ssl证书和配置Web服务器的问题。
答案 1 :(得分:1)
我认为这确实是必要的,因为它涉及真钱。即使用户没有提供任何细节,用户和服务器之间仍然可能存在中间人攻击,这将使任何人都可以使用他的凭据访问服务器。
如果它不涉及真钱(它没有明确写出来),那么你不一定需要它。
答案 2 :(得分:0)
如果用户传递任何敏感信息(我会说股票交易账户的数字非常敏感),那么在我看来,HTTPS是至关重要的。
我看到你描述的内容的方式,你有一个用户识别自己,然后你通过网络传递他/她的帐户的所有信息。绝对安全,尽可能安全。
答案 3 :(得分:0)
在没有使用HTTPS或一次性密码系统的情况下,没有“好”方法可以安全地获取身份验证令牌(在您的情况下是密码)。
在任何情况下,我都希望这种类型的访问是HTTPS安全的,否则我可能不相信它。