Ai-je besoin de SSL Cert pour un site de communauté simple?

Question

Je travaille sur le déploiement d'un site de petite communauté. L'enregistrement de l'utilisateur ne nécessite rien de plus qu'un nom d'utilisateur, une adresse e-mail et un mot de passe. Je ne demande même pas un nom et ne stocke aucune donnée sensible.

Devrais-je toujours investir dans un certificat SSL? Serait-ce considéré comme une pratique horrible de transmettre le mot de passe d’un utilisateur sans ce mot?

Comme il s’agit d’un projet personnel, j’aimerais éviter les coûts supplémentaires si je le pouvais, mais je ne peux pas m’empêcher de penser que je serais irresponsable si je ne protégeais pas tout correctement.

Answer 1

Je vous conseillerais d'obtenir un certificat SSL et de demander https à chaque fois que les utilisateurs envoient un mot de passe pour votre site Web. Bien que vos utilisateurs ne transmettent aucune information sensible, il y a toujours une raison importante à cela: de nombreuses personnes utilisent les mêmes nom d'utilisateur et mot de passe pour chaque site visité, et si quelqu'un utilise un ordinateur portable dans un café en mode sans fil ouvert, vous devriez faites tout ce qui est en votre pouvoir pour protéger leur identité et leur identité.

Si le coût est un problème, CACert constitue un bon compromis. Leurs certificats ne sont pas encore approuvés par défaut dans la plupart des navigateurs, mais toute personne possédant une identité vérifiable peut obtenir un certificat gratuitement de leur part.

Answer 2

Tant que vous ne craignez pas qu'une personne puisse en imiter une autre ou en renifler des données en route, vous n'avez pas besoin de SSL.

Vous pouvez essayer de créer un site aussi sécurisé que possible sans SSL. Cependant, ceci est très dangereux si vous ne savez pas EXACTEMENT quelles sont les ramifications, ce qui sera exposé et comment le protéger sans SSL. Dans certains cas, une véritable protection peut même ne pas être possible.

De plus, rappelez-vous que les gens utilisent souvent un mot de passe pour plusieurs comptes. Cela signifie que la plupart des mots de passe de votre base de données seront identiques à ceux de la banque, du courrier électronique, du réseau, etc. des utilisateurs.

Si vous laissez les utilisateurs stocker un mot de passe avec vous, vous devez en assurer la protection, même si la sécurité de votre propre site n'est pas critique.

Je recommanderais de dépenser les 20 $ pour un certificat GoDaddy, juste pour être sûr. Assurez-vous également de connaître les méthodes de sécurité de session et d’authentification sécurisées.

Answer 3

Merci pour vos réponses. Je pense avoir été convaincu que dépenser un peu d'argent pour protéger les mots de passe des gens en vaut la peine.

J'ai pensé à utiliser OpenID. Ne fera probablement pas partie de la version initiale, mais je pourrai ajouter un support pour cela plus tard. Je me demandais si mon public comprendrait bien le concept OpenID. Je pense que cela fonctionne bien pour SO en raison de la nature du public. J'ai du mal à demander à la population en général de susciter l'enthousiasme pour obtenir un OpenID juste pour utiliser ce qui sera probablement un site très modeste.

Answer 4

Je ne m'embêterais pas avec SSL pour quelque chose comme ça.

Pensez-y ... Il y a un million de tableaux d'affichage sur Internet et aucun d'entre eux n'utilise SSL.

À moins que vous stockiez des numéros de carte de crédit ou d'autres informations financières / personnelles sensibles, je ne pense pas que cela en vaille la peine.

Answer 5

Tant que vos utilisateurs ne fourniront pas de carte de crédit ou d'autres informations personnelles, je n'aurais pas pris la peine de payer pour un certificat.

Mais s’il s’agissait d’un site de réseau social, j’envisagerais de le faire.

Answer 6

Peut-être pas utile, mais certains fournisseurs de SSL sont moins chers que d’autres. www.instantssl.com est relativement bon marché, par exemple. De plus, certains hôtes vous autorisent à utiliser des certificats partagés, vous pouvez les utiliser uniquement pour le processus de connexion, bien que votre domaine ne soit pas dans la barre d’adresses, le trafic sera au moins chiffré.

Answer 7

SSL est probablement trop cher pour cela.

Encouragez vos utilisateurs à ne pas utiliser les mots de passe qu’ils utilisent pour stocker leurs informations confidentielles! Vous n’allez peut-être rien stocker d’important, mais si "kitty37" est également la clé de votre compte bancaire, les choses peuvent mal tourner.

Cela me rappelle que les gens devraient consulter le projet Perspectives de la CMU, qui tente de résoudre le problème des certificats auto-signés trop difficiles à utiliser d'un côté, et "officiel". les certificats sont potentiellement contrefaits, d’autre part, en utilisant un service de surveillance par consensus qui assure le suivi d’un grand nombre de certificats de sécurité, observe leur évolution, etc.

Ils ont une extension Firefox, donc c'est très facile à utiliser (il y a aussi un client openSSH). http://www.cs.cmu.edu/~perspectives/

Answer 8

Investir dans un certificat SSL pour un site Web de petite communauté serait un gaspillage de votre argent. Je pense qu'il serait préférable de passer plus de temps à s'assurer que les pages d'enregistrement et de connexion des utilisateurs sont faciles d'accès et compréhensibles, ce qui laisse suffisamment de temps et d'espace à l'utilisateur pour voir s'il reste connecté. Si vous définissez toujours des paramètres comme celui-ci sur non, cet exemple ne poserait pas de problème.

Si nous avions affaire à un site Web volumineux, ce serait peut-être une bonne idée d’en obtenir un. Avez-vous envisagé d’utiliser OpenID pour permettre aux utilisateurs de se connecter? Cela semble fonctionner assez bien pour ce site Web, alors pourquoi ne pas le mettre en œuvre vous-même?

Answer 9

La partie SSl est probablement exagérée et, pire encore, elle devient une véritable tentation de "casser la sécurité du fret". --- où vous faites quelque chose qui ressemble à de la sécurité mais qui n’ajoute rien à rien.

Vous feriez mieux de penser à la manière de vous assurer de construire un site renforcé et de maintenir vos correctifs de sécurité à jour.

Oh, et une chose: réchauffez les utilisateurs, ils n'utilisent pas de mots de passe sécurisés, ils n'utilisent donc pas leur favori "joe". mot de passe qu'ils utilisent sur tous leurs sites bancaires.

Answer 10

Si vous souhaitez simplement identifier un utilisateur, pourquoi ne pas autoriser OpenID comme le fait l'empilement? ;) http://openid.net/