Стоит ли использовать https, если вы не совершаете финансовые транзакции?

Эй, просто быстрый вопрос для любых экспертов. У меня есть сайт, который позволяет пользователям взаимодействовать через сообщения и регистрироваться, вы просто вводите имя пользователя и пароль, проверяете свой возраст и, возможно, добавляете электронное письмо. Я полагаю, что нет никакой важной информации. Стоит ли использовать https. Будет ли это предотвращать сессию привет и будет ли это препятствовать производительности?

Ответы

Ответ 1

В любое время, когда вы используете имя пользователя/пароль, вы должны полностью защитить весь сеанс с помощью HTTPS. Стоимость для вас довольно незначительна по сравнению с потенциальными расходами для ваших пользователей, если их пароли подвергаются. Research последовательно показывает, что люди используют один и тот же пароль почти для каждой системы, к которой они обращаются.

Кроме того, помимо риска подверженности паролю, считайте, что ваш сайт является коммуникационным инструментом. Каков потенциальный риск или вред для ваших пользователей за то, что вы имитировали? Из-за наличия вредоносных сообщений, отправленных под их личность?

Это просто не стоит риска. Закрепите транспорт как минимум.

Ответ 2

Я думаю, что как только у вас будет какая-то регистрация, вы должны защитить пароль пользователя. Вы можете сделать это через https или с помощью проверки подлинности электронной почты http.

Мое основное соображение для шифрования заключается в том, что у большого числа ваших пользователей будет такой же пароль на вашем сайте, как и у их банковского счета или чего-то подобного. Несмотря на то, что информация на вашем сайте нечувствительна, пароли действительно могут защитить что-то важное.

Ответ 3

Да, SSL/TLS требуется для обеспечения надежной аутентификации. Если у вас есть логин, то сообщение для входа и ВСЕ СЕССИЯ должны быть защищены https. Легче и безопаснее пересылать весь трафик на https, даже если у вас есть простое веб-приложение.

Проблема заключается в том, что идентификатор сеанса (cookie) может быть просочился, если вы используете http. Если этот сеанс аутентифицирован, хакер может использовать этот идентификатор сеанса для аутентификации с сервером без имени пользователя и пароля.

Это явное требование Top 10 A3 OWASP: "Сломанная аутентификация и управление сеансом" http://www.owasp.org/images/0/0f/OWASP_T10_-_2010_rc1.pdf

Отправка cookie через http также является нарушением CWE-614 и КВО-311.

Ответ 4

Это, по крайней мере, стоит, если вы передаете пароли и адреса электронной почты или любую другую личную или личную информацию. Захват сеанса возможен, если есть связь без HTTPS, но это риск, который многие веб-сайты готовы принять, и зависит от вашей ситуации.

Проблемы с производительностью зависят от вашего оборудования и вашего стека, но будет иметь место "некоторая" производительность от HTTPS и HTTP. Этого недостаточно, чтобы вы не защищали пароли и конфиденциальную информацию пользователя.

Ответ 5

Я думал об этом и раньше. Я бы подумал, что вам нужно безопасное соединение, когда пользователи регистрируются или меняют информацию.

Ответ 6

Для некоторых людей пароли и возраст будут считаться конфиденциальной информацией. Готовы ли вы иметь дело с людьми, у которых может быть другое мнение, чем вы?