简单的社区网站是否需要 SSL 证书？

题

我正在努力部署一个小型社区网站。用户注册只需要用户名、电子邮件地址和密码。我什至不要求提供姓名，当然也不会存储任何敏感数据。

我还应该投资 SSL 证书吗？在没有密码的情况下传输用户密码会被认为是一种糟糕的做法吗？

这只是一个个人项目，所以我想尽可能避免额外的费用，但我忍不住觉得如果我没有妥善保护所有东西，我就是不负责任的。

解决方案

我建议您在用户向您的网站提交密码时获取SSL证书并要求https。虽然您的用户不会传输任何敏感信息，但仍有一个重要原因：许多人对他们访问的每个网站都使用相同的用户名和密码，如果有人在开放式无线网络的咖啡店使用笔记本电脑，您应该尽一切力量保护他们和他们的身份安全。

如果成本是个问题，那么 CACert 就是一个很好的折衷方案。在大多数浏览器中，默认情况下，他们的证书不受信任，但任何具有可验证身份的人都可以免费获得证书。

其他提示

只要您不介意一个人能够冒充另一个人，或者在途中嗅探数据，那么您就不需要 SSL。

您可以尝试在不使用 SSL 的情况下创建尽可能安全的站点。然而，如果您不确切知道后果是什么，什么会被暴露，以及如何在没有 SSL 的情况下保护它，这是非常危险的。在某些情况下，真正的保护甚至是不可能的。

另外，请记住人们经常对多个帐户使用一个密码。这意味着您数据库中的许多密码将与用户的银行、电子邮件、网络等相同。

如果您让人们在您那里存储密码，您就必须负责保护它，即使您自己网站的安全性并不重要。

为了确定起见，我建议花 20 美元购买 godaddy 证书。另外，请务必阅读会话安全性和安全身份验证方法。

感谢您的回复。我想我确信花一点钱来保护人们的密码是值得的。

我确实考虑过使用OpenID。可能不会是初始版本的一部分，但我可能会在以后添加对它的支持。我会质疑我的观众对OpenID概念的理解程度。我认为由于受众的性质，它适用于SO。我很难要求普通大众传达热情，以获得OpenID，只是为了使用可能非常适度的网站。

我不会因此而烦恼SSL。

考虑一下......互联网上有一百万个留言板，但没有一个使用SSL。

除非您存储信用卡号码或其他敏感的财务/个人信息，否则我认为这不值得花费。

只要您的用户不提供任何信用卡或其他个人信息，我也不会为证书付费。

但如果它是一个社交网站，那么我会考虑购买一个。

可能没有用，但有些SSL提供商比其他提供商便宜www.instantssl.com比较便宜。此外，一些主机允许您使用共享证书，您可以将这些仅用于登录过程，尽管您的域将不在地址栏中，至少流量将被加密，

SSL可能有点过头了。

鼓励用户不要使用他们用来存储敏感信息的密码！您可能不会存储任何重要的内容，但如果“kitty37”也是其银行帐户的关键，那么事情就会变得糟糕。

这让我想起 - 人们应该查看CMU的Perspectives项目，该项目试图解决自签名证书一方面难以使用的问题，以及“官方”的问题。通过使用一致性监控服务来跟踪大量安全证书，并观察它们是否正在发生变化等，证书可能会伪造，另一方面可能伪造。

他们有一个Firefox扩展，所以它很容易使用（还有一个openSSH客户端）。 http://www.cs.cmu.edu/~perspectives/

投资小型社区网站的SSL证书将浪费您的资金。我相信花时间更好地确保用户注册和登录页面易于访问和理解，允许用户有足够的时间和空间来查看他们是否会保持登录状态。如果你总是将这样的参数设置为不，这个例子不会成为问题。

如果我们正在处理一个大型网站，那么获得一个网站也许是一个好主意。您是否考虑过使用 OpenID 作为用户登录的方式？它似乎对这个网站运作得相当好，所以为什么不自己实现呢？

SSL 部分可能是杀伤力过大，更糟糕的是，它成为“货物崇拜安全”的真正诱惑——您做的事情听起来像是安全的，但实际上并没有增加任何东西。

您最好考虑如何确保您正在构建一个强化的站点，并保持您的安全补丁处于最新状态。

哦，还有一件事：热情的用户没有使用安全密码，因此他们不会使用他们在所有银行网站上使用的最喜欢的“joe”密码。

如果您只想识别用户，为什么不允许像stackoverflow这样的OpenID呢？ ;） http://openid.net/

许可以下： CC-BY-SA 和归因