هل أحتاج إلى شهادة SSL لموقع المجتمع البسيط؟
https://stackoverflow.com/questions/282762
-
08-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أنا أعمل على نشر موقع مجتمع صغير. لا يتطلب تسجيل المستخدم أكثر من اسم مستخدم وعنوان بريد إلكتروني وكلمة مرور. أنا لا أطلب حتى اسمًا ، وبالتأكيد لا أطلب أي بيانات حساسة.
هل ما زلت أستثمر في شهادة SSL؟ هل تعتبر ممارسة فظيعة لنقل كلمة مرور المستخدم بدون واحدة؟
هذا مجرد مشروع شخصي ، لذلك أود تجنب التكلفة الإضافية إن أمكن ، لكن لا يسعني إلا أن أشعر أنني سأكون غير مسؤول إذا لم أكن آمن كل شيء بشكل صحيح.
المحلول
أوصي بالحصول على شهادة SSL وطلب HTTPS في أي وقت يقدم المستخدمون كلمة مرور إلى موقع الويب الخاص بك. على الرغم من أن المستخدمين لن ينقلوا أي معلومات حساسة ، إلا أنه لا يزال هناك سبب واحد كبير لذلك: يستخدم الكثير من الناس اسم المستخدم وكلمة المرور نفسها لكل موقع يزورونه ، وإذا كان شخص ما يستخدم كمبيوتر محمول في مقهى على Open Wireless ، فيجب عليك ذلك افعل كل ما في وسعك للحفاظ عليها وهويتهم آمنة.
إذا كانت التكلفة مشكلة ، فإن حل وسط جيد cacert. لا يتم الوثوق بشهاداتهم افتراضيًا في معظم المتصفحات (حتى الآن) ، ولكن يمكن لأي شخص لديه هوية يمكن التحقق منها الحصول على شهادة منها مجانًا.
نصائح أخرى
طالما أنك لا تمانع في أن يتمكن شخص ما من انتحال شخصية أخرى ، أو استنشاق بيانات في طريقها ، فأنت لا تحتاج إلى SSL.
يمكنك محاولة إنشاء موقع آمن قدر الإمكان بدون SSL. ومع ذلك ، هذا أمر خطير للغاية إذا كنت لا تعرف بالضبط ماهية التداعيات وما الذي سيتم كشفه ، وكيفية حمايته بدون SSL. في بعض الحالات ، قد لا تكون الحماية الحقيقية ممكنة.
أيضًا ، تذكر أن الأشخاص غالبًا ما يستخدمون كلمة مرور واحدة لحسابات متعددة. هذا يعني أن العديد من كلمات المرور في قاعدة البيانات الخاصة بك ستكون هي نفسها بنك المستخدمين ، والبريد الإلكتروني ، والشبكة ، إلخ.
إذا سمحت للأشخاص بتخزين كلمة مرور معك ، فيجب عليك تحمل مسؤولية حمايتها ، حتى لو لم يكن أمان موقعك أمرًا بالغ الأهمية.
أوصي بإنفاق 20 دولارًا لشهادة Godaddy ، فقط للتأكد. تأكد أيضًا من قراءة أمان الجلسة وأساليب المصادقة الآمنة.
شكرا لردك. أعتقد أنني كنت مقتنعا بأن إنفاق القليل من المال لحماية كلمات مرور الناس يستحق ذلك.
لقد فكرت في استخدام OpenID. ربما لن يكون جزءًا من الإصدار الأولي ، لكنني قد أضيف دعمًا له لاحقًا. أود أن أتساءل عن مدى جودة جمهوري مفهوم OpenID. أعتقد أنه يعمل بشكل جيد بسبب طبيعة الجمهور. أواجه صعوبة في مطالبة عامة السكان باستدعاء الحماس للحصول على OpenID لمجرد استخدام ما سيكون على الأرجح موقعًا متواضعًا للغاية.
لن أزعج SSL بشيء من هذا القبيل.
فكر في الأمر ... هناك مليون لوحة رسائل على الإنترنت ولا يستخدم أي منها SSL.
ما لم تكن تقوم بتخزين أرقام بطاقات الائتمان أو معلومات مالية/شخصية حساسة أخرى ، لا أعتقد أن الأمر يستحق التكلفة.
طالما أن المستخدمين لا يقدمون أي بطاقة ائتمان أو معلومات شخصية أخرى ، فلن أزعج نفسي بالدفع مقابل شهادة أيضًا.
ولكن إذا كان موقع التواصل الاجتماعي ، فسأفكر في الحصول على واحد.
ربما ليس مفيدًا ولكن بعض مقدمي SSL أقل تكلفة من الآخرين www.instantssl.com غير مكلف نسبيًا على سبيل المثال. كما يتيح لك بعض المضيفين استخدام الشهادات المشتركة ، يمكنك استخدامها فقط لعملية تسجيل الدخول ، على الرغم من أن مجالك لن يكون في شريط العناوين على الأقل سيتم تشفير حركة المرور ،
SSL ربما يكون مبالغة لهذا الغرض.
شجع المستخدمين على عدم استخدام كلمات المرور التي يستخدمونها لتخزين معلوماتهم الحساسة ، على الرغم من ذلك! قد لا تخزن أي شيء مهم ، ولكن إذا كان "Kitty37" هو أيضًا مفتاح حسابهم المصرفي ، فقد تصبح الأمور سيئة ..
هذا يذكرني-يجب على الناس الاطلاع على مشروع المنظورات من CMU ، الذي يحاول معالجة مشكلة الشهادات الموقعة ذاتيا التي يصعب استخدامها من ناحية ، والشهادات "الرسمية" التي يحتمل أن تزور ، من ناحية أخرى ، من ناحية أخرى ، من ناحية أخرى ، من ناحية أخرى ، باستخدام خدمة مراقبة الإجماع التي تتتبع عدد كبير من شهادات الأمان ، ويلاحظ ما إذا كانت تتغير ، إلخ.
لديهم امتداد Firefox ، لذلك من السهل الاستخدام (يوجد أيضًا عميل OpenSsh). http://www.cs.cmu.edu/~perspectives/
سيكون مضيعة لأموالك للاستثمار في شهادة SSL لموقع مجتمع صغير. أعتقد أنه سيتم إنفاق الوقت بشكل أفضل في ضمان سهولة الوصول إلى صفحات تسجيل المستخدم ومسجلة التسجيل لا ثم هذا المثال لن يكون مشكلة.
إذا كنا نتعامل مع موقع ويب كبير ، فربما يكون من الجيد الحصول على واحد. هل فكرت في استخدام OpenID كوسيلة للمستخدمين الذين يقومون بتسجيل الدخول؟ يبدو أنه يعمل بشكل جيد مع هذا الموقع ، فلماذا لا تنفذه بنفسك؟
من المحتمل أن يكون جزء SSL مبالغًا فيه ، والأسوأ من ذلك يصبح إغراء حقيقي لـ "أمان عبادة البضائع" --- حيث تفعل شيئًا يبدو وكأنه أمان ولكن لا تضيف إلى أي شيء.
من الأفضل أن تفكر في كيفية التأكد من قيامك ببناء موقع متصلع ، والحفاظ على بقع الأمان الخاصة بك حتى الآن.
أوه ، وشيء واحد: المستخدمون الدافئون لا يستخدمون كلمات مرور آمنة ، لذلك لا يستخدمون كلمة مرور "Joe" المفضلة التي يستخدمونها في جميع مواقعهم المصرفية.
إذا كنت تتطلع فقط إلى تحديد مستخدم ، فلماذا لا تسمح OpenID مثل StackOverflow؟ ؛)http://openid.net/
