Ho bisogno di SSL Cert per un sito di comunità semplice?

Question

Sto lavorando alla distribuzione di un piccolo sito della community. La registrazione dell'utente non richiede altro che un nome utente, un indirizzo e-mail e una password. Non sto nemmeno chiedendo un nome e certamente non sto memorizzando alcun dato sensibile.

Devo ancora investire in un certificato SSL? Sarebbe considerata una pratica terribile trasmettere una password dell'utente senza una?

Questo è solo un progetto personale, quindi vorrei evitare il costo aggiuntivo se potessi, ma non posso fare a meno di pensare che sarei irresponsabile se non avessi protetto tutto correttamente.

Answer 1

Consiglio di ottenere un certificato SSL e di richiedere https ogni volta che gli utenti inviano una password al tuo sito web. Sebbene i tuoi utenti non trasmettano alcuna informazione sensibile, c'è ancora una grande ragione per questo: molte persone usano lo stesso nome utente e password per ogni sito che visitano e se qualcuno sta usando un laptop in un bar su wireless aperto, dovresti fai tutto ciò che è in tuo potere per proteggerli e la loro identità.

Se il costo è un problema, un buon compromesso è CACert . I loro certificati non sono affidabili per impostazione predefinita nella maggior parte dei browser (ancora), ma chiunque abbia un'identità verificabile può ottenere un certificato da loro gratuitamente.

Answer 2

Finché non ti dispiace che una persona sia in grado di impersonare un'altra persona o di annusare i dati durante il percorso, allora non hai bisogno di SSL.

Puoi provare a creare un sito il più sicuro possibile senza SSL. Tuttavia, questo è molto pericoloso se non si conosce ESATTAMENTE quali sono le ramificazioni, quali saranno esposti e come proteggerlo senza SSL. In alcuni casi, la protezione reale potrebbe non essere nemmeno possibile.

Inoltre, ricorda che le persone usano spesso una password per più account. Ciò significa che molte delle password nel database saranno le stesse della banca degli utenti, della posta elettronica, della rete, ecc.

Se permetti alle persone di archiviare una password con te, devi assumerti la responsabilità di proteggerla, anche se la sicurezza del tuo sito non è critica.

Consiglierei di spendere $ 20 per un certificato da padrino, per essere sicuro. Inoltre, assicurati di leggere la sicurezza della sessione e i metodi di autenticazione protetta.

Answer 3

Grazie per le tue risposte. Penso di essere convinto che valga la pena spendere un po 'di soldi per proteggere le password delle persone.

Ho pensato di usare OpenID. Probabilmente non farà parte della versione iniziale, ma potrei aggiungere supporto in seguito. Metterei in dubbio quanto bene il mio pubblico avrebbe capito il concetto di OpenID. Penso che funzioni bene per SO a causa della natura del pubblico. Ho difficoltà a chiedere alla popolazione in generale di convocare l'entusiasmo di ottenere un OpenID solo per usare quello che probabilmente sarà un sito molto modesto.

Answer 4

Non mi preoccuperei di SSL per qualcosa del genere.

Pensaci ... ci sono un milione di bacheche su Internet e nessuna di esse usa SSL.

A meno che tu non stia memorizzando numeri di carta di credito o altre informazioni finanziarie / personali sensibili, non credo che valga il costo.

Answer 5

Fintanto che i tuoi utenti non forniranno alcuna carta di credito o altre informazioni personali, non mi preoccuperei nemmeno di pagare un certificato.

Ma se fosse un sito di social network, prenderei in considerazione l'idea di ottenerne uno.

Answer 6

Forse non utile, ma alcuni provider SSL sono meno costosi di altri, ad esempio www.instantssl.com è relativamente economico. Inoltre alcuni host ti consentono di utilizzare certificati condivisi, puoi usarli solo per la procedura di accesso, anche se il tuo dominio non sarà nella barra degli indirizzi almeno il traffico sarà crittografato,

Answer 7

SSL è probabilmente eccessivo per questo.

Incoraggia i tuoi utenti a non usare le password che usano per archiviare le loro informazioni sensibili! Potresti non archiviare nulla di importante, ma se "kitty37" è anche la chiave del loro conto bancario, le cose potrebbero andare male.

Questo mi ricorda: la gente dovrebbe dare un'occhiata al progetto Perspectives di CMU, che cerca di affrontare da un lato il problema dei certificati autofirmati, e "ufficiale" è troppo difficile da usare. i certificati vengono potenzialmente falsificati, dall'altro, utilizzando un servizio di monitoraggio del consenso che tiene traccia di un gran numero di certificati di sicurezza e osserva se stanno cambiando, ecc.

Hanno un'estensione per Firefox, quindi è estremamente facile da usare (c'è anche un client openSSH). http://www.cs.cmu.edu/~perspectives/

Answer 8

Sarebbe uno spreco di denaro investire in un certificato SSL per un sito Web di piccole comunità. Credo che il tempo sarebbe meglio speso per garantire che le pagine di registrazione e di accesso dell'utente siano di facile accesso e comprensione, consentendo all'utente tempo e spazio ampi per vedere se rimarranno connessi. Se imposti sempre parametri come questo su no allora questo esempio non sarebbe un problema.

Se avessimo a che fare con un sito Web di grandi dimensioni, forse sarebbe una buona idea ottenerne uno. Hai considerato l'utilizzo di OpenID come mezzo per l'accesso degli utenti? Sembra funzionare abbastanza bene per questo sito Web, quindi perché non implementarlo da soli?

Answer 9

La parte SSl è probabilmente eccessiva, e peggio ancora diventa una vera tentazione di "sicurezza di culto del carico" --- dove fai qualcosa che sembra sicurezza ma che in realtà non si aggiunge a nulla.

Faresti meglio a pensare a come assicurarti di costruire un sito rafforzato e mantenere aggiornate le patch di sicurezza.

Oh, e una cosa: utenti cordiali che non usano password sicure, quindi non usano il loro preferito " joe " password che usano su tutti i loro siti bancari.

Answer 10

Se stai solo cercando di identificare un utente, perché non consentire OpenID come fa StackOverflow? ;) http://openid.net/