シンプルなコミュニティサイトにはSSL証明書が必要ですか?
-
08-07-2019 - |
質問
私は小さなコミュニティサイトの展開に取り組んでいます。ユーザー登録に必要なものは、ユーザー名、メールアドレス、パスワードのみです。名前を尋ねることすらしていませんし、機密データを保存しているわけでもありません。
SSL証明書に引き続き投資する必要がありますか?パスワードなしでユーザーのパスワードを送信することはひどい習慣と見なされますか?
これは単なる個人的なプロジェクトですので、できれば追加費用を避けたいと思いますが、すべてを適切に保護しなければ無責任だと感じざるを得ません。
解決
SSL証明書を取得し、ユーザーがWebサイトにパスワードを送信するたびにhttpsを要求することをお勧めします。ユーザーが機密情報を送信することはありませんが、これには1つの大きな理由があります。多くの人が、アクセスするすべてのサイトで同じユーザー名とパスワードを使用します。彼らと彼らの身元を安全に保つためにあなたの力ですべてをしてください。
コストが問題になる場合、妥協案は CACert です。それらの証明書は、ほとんどのブラウザでデフォルトではまだ信頼されていませんが、検証可能なIDを持っている人は誰でも無料で証明書を取得できます。
他のヒント
ある人が別の人になりすますことや、途中でデータを盗聴することを気にしない限り、SSLは必要ありません。
SSLを使用せずに、できるだけ安全なサイトを作成することができます。ただし、これは、影響が何であり、何が公開されるのか、SSLなしで保護する方法を正確に知らない場合、非常に危険です。場合によっては、実際の保護が不可能な場合もあります。
また、多くの場合、複数のアカウントに1つのパスワードを使用することを忘れないでください。つまり、データベース内のパスワードの多くは、ユーザーの銀行、メール、ネットワークなどと同じになります。
他の人にパスワードを保存してもらう場合、自分のサイトのセキュリティが重要でない場合でも、パスワードを保護する責任を負う必要があります。
念のため、GoDaddy証明書に20ドルを使うことをお勧めします。また、セッションのセキュリティと安全な認証方法を必ず読んでください。
ご回答ありがとうございます。私は、人々のパスワードを保護するために少しお金を使う価値があると確信していたと思います。
OpenIDの使用について考えました。おそらく最初のリリースには含まれないでしょうが、後でサポートを追加するかもしれません。観客がOpenIDの概念をどれだけ理解しているか疑問に思うでしょう。観客の性質上、SOにはうまくいくと思います。おそらく非常に控えめなサイトを使用するためだけにOpenIDを取得するという意欲を一般の人々に呼びかけるのは困難です。
そのようなことでSSLに悩むことはありません。
考えてみてください...インターネットには数百万のメッセージボードがありますが、どれもSSLを使用していません。
クレジットカード番号やその他の重要な財務/個人情報を保存していない限り、コストに見合う価値はないと思います。
ユーザーがクレジットカードやその他の個人情報を提供しない限り、証明書の支払いも気にしません。
ただし、ソーシャルネットワーキングサイトの場合は、取得を検討します。
役に立たない可能性もありますが、一部のSSLプロバイダーは他のSSLプロバイダーよりも安価です。たとえばwww.instantssl.comは比較的安価です。また、一部のホストでは共有証明書を使用できます。これらはログオンプロセスだけに使用できますが、ドメインはアドレスバーに含まれませんが、少なくともトラフィックは暗号化されます。
SSLはおそらくこれでは過剰です。
ただし、ユーザーに機密情報の保存に使用するパスワードを使用しないように奨励してください!重要なものは何も保存しないかもしれませんが、「kitty37」が銀行口座の鍵でもある場合、事態は悪化する可能性があります。
これは私に思い出させます-人々は、一方では非常に難しい自己署名証明書の問題に対処しようとするCMUのPerspectivesプロジェクトをチェックアウトする必要があります。多数のセキュリティ証明書を追跡し、それらが変更されているかどうかなどを監視するコンセンサス監視サービスを使用することにより、証明書が偽造される可能性があります。
Firefoxの拡張機能があるため、非常に使いやすくなっています(openSSHクライアントもあります)。 http://www.cs.cmu.edu/~perspectives/
小規模なコミュニティWebサイトのSSL証明書に投資するのはお金の無駄です。ユーザー登録とログインページへのアクセスと理解が容易になり、ユーザーがログインしたままかどうかを十分な時間とスペースで確認できるようになるのに時間がかかると思います。いいえ、この例は問題になりません。
大規模なWebサイトを扱っている場合は、おそらくそれを取得することをお勧めします。ログインしているユーザーの手段として OpenID を使用することを検討しましたか?このWebサイトではうまく機能しているようです。自分で実装してみませんか?
SSlの部分はおそらくやり過ぎであり、さらに悪いことに、「貨物カルトセキュリティ」への本当の誘惑になります。 ---セキュリティのように聞こえるが、実際には何も追加しないものを実行します。
強化されたサイトを確実に構築し、セキュリティパッチを最新の状態に保つ方法を考えた方がよいでしょう。
ああ、1つ。安全なパスワードを使用していないユーザーを温かくするため、お気に入りの「ジョー」を使用しません。すべての銀行サイトで使用するパスワード。
ユーザーを特定するだけの場合、stackoverflowのようにOpenIDを許可しないのはなぜですか? ;) http://openid.net/