Benötige ich SSL Cert für einfache Community -Site?

Question

Ich arbeite an der Bereitstellung einer kleinen Community -Site. Die Benutzerregistrierung erfordert nichts weiter als einen Benutzernamen, eine E -Mail -Adresse und ein Passwort. Ich frage nicht einmal nach einem Namen und speichere sicherlich keine sensiblen Daten.

Soll ich immer noch in ein SSL -Zertifikat investieren? Wäre es als schreckliche Praxis an, das Passwort eines Benutzers ohne eines zu übertragen?

Dies ist nur ein persönliches Projekt, deshalb möchte ich die zusätzlichen Kosten vermeiden, wenn ich könnte, aber ich kann nicht anders, als zu fühlen, dass ich unverantwortlich bin, wenn ich nicht alles richtig sichern würde.

Answer 1

Ich würde empfehlen, ein SSL -Zertifikat zu erhalten und HTTPS zu erfordern, wenn Benutzer ein Passwort auf Ihre Website senden. Obwohl Ihre Benutzer keine sensiblen Informationen übertragen, gibt es dennoch einen großen Grund dafür: Viele Menschen verwenden für jede Website denselben Benutzernamen und Passwort, und wenn jemand einen Laptop in einem Café auf offenem Wireless verwendet, sollten Sie sollten Tun Sie alles in Ihrer Macht stehende, um sie und ihre Identität sicher zu machen.

Wenn Kosten ein Problem sind, ist ein guter Kompromiss Cacert. Ihre Zertifikate werden in den meisten Browsern (noch) nicht standardmäßig vertrauen, aber jeder mit einer überprüfbaren Identität kann ein Zertifikat kostenlos von ihnen erhalten.

Answer 2

Solange es Ihnen nichts ausmacht, dass eine Person in der Lage ist, sich als einen anderen auszugeben oder Daten zu schnüffeln, benötigen Sie keine SSL.

Sie können versuchen, eine Website so sicher wie möglich ohne SSL zu erstellen. Dies ist jedoch sehr gefährlich, wenn Sie nicht genau wissen, was die Auswirkungen sind und was ausgesetzt wird und wie Sie es ohne SSL schützen können. In einigen Fällen ist ein echter Schutz möglicherweise nicht einmal möglich.

Denken Sie auch daran, dass Personen häufig ein Passwort für mehrere Konten verwenden. Dies bedeutet, dass viele der Passwörter in Ihrer Datenbank mit der Bank, der E -Mail, des Netzwerks usw. die gleichen entsprechen.

Wenn Sie die Leute mit Ihnen ein Passwort aufbewahren lassen, müssen Sie die Verantwortung für den Schutz übernehmen, auch wenn die Sicherheit Ihrer eigenen Website nicht kritisch ist.

Ich würde empfehlen, die 20 US -Dollar für ein Godaddy -Zertifikat auszugeben, nur um sicher zu sein. Stellen Sie außerdem sicher, dass Sie sich über die Sitzungssicherheit und die sicheren Authentifizierungsmethoden informieren.

Answer 3

Vielen Dank für Ihre Antworten. Ich glaube, ich war überzeugt, dass es sich lohnt, ein wenig Geld zum Schutz der Passwörter der Menschen auszugeben.

Ich habe über die Verwendung von OpenID nachgedacht. Wahrscheinlich wird ich wahrscheinlich nicht Teil der ersten Veröffentlichung sein, aber ich kann später Unterstützung dafür hinzufügen. Ich würde mich fragen, wie gut mein Publikum das Konzept von OpenID verstehen würde. Ich denke, es funktioniert gut für die Natur des Publikums. Es fällt mir schwer, die allgemeine Bevölkerung zu bitten, die Begeisterung zu beschwören, um eine OpenID zu bekommen, nur um eine sehr bescheidene Site zu verwenden.

Answer 4

Ich würde mich nicht um SSL für so etwas kümmern.

Denken Sie darüber nach ... Es gibt eine Million MessageBoards im Internet und keiner von ihnen nutzt SSL.

Wenn Sie keine Kreditkartennummern oder andere sensible finanzielle/personenbezogene Daten speichern, denke ich nicht, dass es die Kosten wert ist.

Answer 5

Solange Ihre Benutzer keine Kreditkarte oder andere persönliche Informationen zur Verfügung stellen, würde ich mich auch nicht die Mühe machen, ein Zertifikat zu bezahlen.

Aber wenn es eine Social -Networking -Site wäre, würde ich in Betracht ziehen, eine zu bekommen.

Answer 6

Möglicherweise nicht hilfreich, aber einige SSL -Anbieter sind billiger als andere www.instantsl.com sind beispielsweise vergleichsweise kostengünstig. Einige Hosts ermöglichen es Ihnen, freigegebene Zertifikate zu verwenden. Sie können diese nur für den Anmeldung auf Prozess verwenden, obwohl Ihre Domain nicht in der Adressleiste liegt, zumindest der Datenverkehr wird verschlüsselt.

Answer 7

SSL ist wahrscheinlich übertrieben.

Ermutigen Sie Ihre Benutzer, keine Passwörter zu verwenden, die sie verwenden, um ihre vertraulichen Informationen zu speichern! Sie speichern vielleicht nichts Wichtiges, aber wenn "Kitty37" auch der Schlüssel zu ihrem Bankkonto ist, können die Dinge schlecht werden.

Dies erinnert mich-die Leute sollten das Perspektivprojekt von der CMU überprüfen, das versucht, das Problem der selbstsignierten Zertifikate zu lösen, die einerseits viel zu schwer zu verwenden sind, und "offizielle" Zertifikate, die potenziell geschmiedet werden, andererseits, andererseits. Durch die Verwendung eines Konsensüberwachungsdienstes, der eine große Anzahl von Sicherheitszertifikaten verfolgt und feststellt, ob sie sich ändern, usw.

Sie haben eine Firefox -Erweiterung, daher ist sie einfach einfach zu bedienen (es gibt auch einen OpenSSH -Kunden). http://www.cs.cmu.edu/~persspectives/

Answer 8

Es wäre eine Geldverschwendung, in ein SSL -Zertifikat für eine kleine Community -Website zu investieren. Ich glaube, dass die Zeit besser darauf verwendet wird, sicherzustellen, dass die Registrierung und Anmeldeseiten von Benutzern leicht zugreifen und verstehen können, sodass der Benutzer ausreichend Zeit und Platz ermöglicht, um festzustellen, ob sie angemeldet bleiben. Wenn Sie immer Parameter wie diese festlegen Nein, dann wäre dieses Beispiel kein Problem.

Wenn wir mit einer großen Website zu tun hätten, wäre es vielleicht eine gute Idee, eine zu bekommen. Haben Sie überlegt, verwenden OpenID Als Mittel für Benutzer, die sich anmelden? Es scheint für diese Website einigermaßen gut zu funktionieren. Warum also nicht alleine implementieren?

Answer 9

Der SSL-Teil ist wahrscheinlich übertrieben, und schlimmer noch, es wird zu einer echten Versuchung, "Frachtkult-Sicherheit" zu erhalten-wo Sie etwas tun, das nach Sicherheit klingt, aber nichts trägt.

Sie sollten besser darüber nachdenken, wie Sie sicherstellen können, dass Sie eine gehärtete Website erstellen und Ihre Sicherheitspatches auf dem neuesten Stand halten.

Oh, und eine Sache: Warm -Benutzer, die sie nicht sicher sind, verwenden sie keine sicheren Passwörter, daher verwenden sie ihr Lieblings -Joe -Passwort nicht auf allen Bankwebsites.

Answer 10

Wenn Sie nur einen Benutzer identifizieren möchten, können Sie OpenID wie Stackoverflow nicht zulassen. ;))http://openid.net/