我正在为当地教会的一个小网站工作。该站点需要允许管理员编辑内容并发布新事件/更新。该网站管理的唯一“安全”信息将是管理员的登录信息以及包含电话号码和地址的教会目录。
如果我不使用SSL而只是让用户使用直接HTTP登录,我会有多大的风险?通常我甚至不会考虑这个,但它是一个小教堂,他们需要尽可能省钱。
答案 0 :(得分:6)
由于只有您的管理员才会使用安全会话,因此只需使用自签名证书即可。这不是最好的用户体验,但最好保证信息的安全。
答案 1 :(得分:4)
将HTTPS与免费证书一起使用。 StartCom是免费的,并且包含在Firefox浏览器中;由于只有您的管理员才会登录,因此如果他们想使用IE,他们可以轻松导入CA.
不要吝啬安全。有趣的是,我看到听起来与你相似的网站只是因为踢腿而被污损。这是值得采取的避免痛苦的事情。
答案 2 :(得分:3)
好吧,如果您不使用SSL,那么对于试图嗅探密码的人来说,您将面临更大的风险。您可能只需要评估您网站的风险因素。
另外请记住,即使拥有SSL也不保证您的数据是安全的。这完全取决于您如何对其进行编码,以确保为您的网站提供额外的保护。
我建议使用单向密码加密algorythm并验证这种方式。
此外,您可以非常便宜地获得SSL证书,我之前使用过Geotrust并获得了250.00的认证。我相信那些便宜的东西。
答案 3 :(得分:3)
在您描述的场景中,常规用户将接触到会话劫持,并且所有信息也将“明确地”传输。除非您使用受信任的CA,否则管理员可能会遭受中间人攻击。
您可能需要考虑使用CAcert中的证书并在管理员的浏览器中安装其根证书,而不是自签名证书。
答案 4 :(得分:1)
普通HTTP易受嗅探。如果您不想购买SSL证书,可以使用自签名证书并要求您的客户信任该证书以规避浏览器显示的警告(因为您的经过身份验证的用户只是一些已知的管理员,这种方法非常完美义)。
答案 5 :(得分:1)
实际上,用于访问网站的其中一台计算机更有可能被键盘记录器破坏,而不会被HTTP连接嗅探。