Eu preciso de certificado SSL de simples site de comunidade?

Question

Eu estou trabalhando na implantação de uma pequena comunidade local.O registro do usuário requer nada mais do que um nome de utilizador, endereço de e-mail e senha.Eu não estou nem pedindo um nome, e certamente não o armazenamento de todos os dados sensíveis.

Ainda assim devo investir em um certificado SSL?Seria considerada prática terrível para transmitir a senha de um usuário sem uma?

Este é apenas um projeto pessoal, então eu gostaria de evitar que o custo extra, se eu pudesse, mas eu não posso ajudar, mas sinto que eu seria irresponsável se eu não segura tudo corretamente.

Answer 1

Eu recomendo a obtenção de um certificado SSL e exigindo https qualquer momento os usuários submetem a uma palavra-passe para o seu website.Apesar de os usuários não transmitir qualquer informação sensível, ainda há uma grande razão para isso:muitas pessoas usam o mesmo nome de usuário e senha para cada site que visita, e se alguém estiver usando um laptop, um café aberto sem fio, você deve fazer tudo em seu poder para mantê-los e a sua identidade segura.

Se custo é um problema, um bom compromisso é O CACert.Seus certificados não confiáveis por padrão na maioria dos navegadores (ainda), mas qualquer pessoa com um certificado de identidade pode obter um certificado de graça.

Answer 2

Desde que você não se importe com uma pessoa capaz de se passar por outra, ou sniff Data En-Route, não precisa de SSL.

Você pode tentar criar um site o mais seguro possível sem SSL. No entanto, isso é muito perigoso se você não souber exatamente quais são as ramificações e o que será exposto e como protegê -lo sem SSL. Em alguns casos, a proteção real pode nem ser possível.

Além disso, lembre -se de que as pessoas costumam usar uma senha para várias contas. Isso significa que muitas das senhas do seu banco de dados serão as mesmas do banco de usuários, email, rede etc.

Se você permitir que as pessoas armazenem uma senha com você, deve assumir a responsabilidade de protegê -la, mesmo que a segurança do seu site não seja fundamental.

Eu recomendaria gastar os US $ 20 por um certificado do GoDaddy, apenas para ter certeza. Além disso, leia os métodos de segurança e autenticação segura.

Answer 3

Obrigado por suas respostas. Acho que estava convencido de que gastar um pouco de dinheiro para proteger as senhas das pessoas vale a pena.

Eu pensei em usar o OpenID. Provavelmente não fará parte da versão inicial, mas posso adicionar suporte para isso mais tarde. Eu questionaria o quão bem meu público entenderia o conceito de OpenID. Eu acho que funciona bem por causa da natureza do público. Tenho dificuldade em pedir à população em geral para convocar o entusiasmo para obter um OpenID apenas para usar o que provavelmente será um site muito modesto.

Answer 4

Eu não me incomodaria com o SSL por algo assim.

Pense nisso ... existem um milhão de quadros de mensagens na Internet e nenhum deles usa SSL.

A menos que você esteja armazenando números de cartão de crédito ou outras informações financeiras/pessoais sensíveis, não acho que valha o custo.

Answer 5

Desde que seus usuários não forneçam cartão de crédito ou outras informações pessoais, eu também não me incomodaria em pagar por um certificado.

Mas se fosse um site de redes sociais, eu consideraria um.

Answer 6

Possivelmente não é útil, mas alguns provedores de SSL são mais baratos do que outros www.instantsl.com é comparativamente barato, por exemplo. Além disso, alguns hosts permitem que você use certificados compartilhados, você pode usá -los apenas para o processo de logon, embora seu domínio não esteja na barra de endereços, pelo menos o tráfego será criptografado,

Answer 7

O SSL provavelmente é um exagero para isso.

Incentive seus usuários a não usar senhas que usam para armazenar suas informações confidenciais! Você pode não armazenar nada importante, mas se "Kitty37 'também for a chave da conta bancária, as coisas podem ficar ruins ..

Isso me lembra-as pessoas devem conferir o projeto Perspectives da CMU, que tenta abordar o problema de certificados autoassinados serem muito difíceis de usar, por um lado, e certificados "oficiais" sendo potencialmente forjados, por outro, por outro, Usando um serviço de monitoramento de consenso que acompanha um grande número de certificados de segurança e observa se eles estão mudando, etc.

Eles têm uma extensão do Firefox, por isso é fácil de usar (também há um cliente OpenSSH). http://www.cs.cmu.edu/~perspectives/

Answer 8

Seria um desperdício de seu dinheiro investir em um certificado SSL para um pequeno site da comunidade. Acredito que o tempo seria melhor gasto para garantir que as páginas de registro e login do usuário sejam fáceis de acessar e entender, permitindo ao usuário tempo e espaço suficientemente Não, este exemplo não seria um problema.

Se estivéssemos lidando com um site grande, talvez seja uma boa ideia conseguir um. Você já pensou em usar OpenID como um meio para os usuários efetuar login? Parece funcionar razoavelmente bem para este site, então por que não implementá -lo por conta própria?

Answer 9

The SSl part is probably overkill, and worse it becomes a real temptation to "cargo cult security" --- where you do something that sounds like security but doesn't really add to anything.

You'd be better off thinking about how to make sure you're building a hardened site, and maintaining your security patches up to date.

Oh, and one thing: warm users they aren't using secure passwords, so they don't use their favorite "joe" password they use on all their banking sites.

Answer 10

If you're just looking to identify a user, why not allow OpenID like stackoverflow does? ;) http://openid.net/