SSL è davvero importante per la maggior parte dei siti Web?

11

Sono stato abbastanza paranoico sull'imparare a "fare bene la sicurezza" per questo sito che sto costruendo (il primo sito non banale che ho realizzato) e ho notato qualcosa che mi disturba: SSL.

Ho letto un sacco di thread di sicurezza qui, su StackOverflow e altrove che approfondiscono la rigenerazione degli ID di sessione dopo n usi e come le password devono essere salate, cancellate e mai archiviate in testo semplice. Ho letto molto su come rilevare quando una sessione è stata dirottata, monitorando indirizzi IP, agenti utente e utilizzando i cookie di tracciamento.

Quello che non capisco è ciò che conta di tutto ciò quando il sito Web ti accede tramite un normale POST HTTP e invia la tua password via cavo in chiaro?

Capisco che tutti gli altri metodi che ho elencato sono necessari per ridurre la tua esposizione complessiva, e forse ci sono alcuni siti che non hanno comunque bisogno di tanta sicurezza, ma suppongo che quello che sto chiedendo sia:

  • Quando va bene non disturbare con SSL?

Siti come Gmail, la tua banca e LinkedIn, vedo che c'è un motivo per usare SSL, ma ciò che rende ok che siti come Facebook e reddit non danno fastidio (diavolo, PlentyOfFish memorizza persino la tua password in testo semplice e addirittura la invia via email a te settimanalmente come promemoria!?!)?

Quanto dovrei preoccuparmi di assicurarmi che SSL sia configurato (specialmente da quando inizierei con un host condiviso e sono abbastanza economico per iniziare)? Il mio sito non conterrà informazioni particolarmente personali, se ciò aiuta. Se il sito diventa un successo, prenderei seriamente in considerazione il pagamento di un extra per la sicurezza aggiuntiva.

https  security  authentication 
AgentConundrum
fonte

Risposte:

7

Importa tanto quanto tu e i tuoi utenti pensate che sia importante. L'invio di password su http come testo normale li rende vulnerabili all'annullamento dei pacchetti. Ora, se qualcuno si preoccuperà davvero di annusare quei pacchetti è un'altra storia. Se vuoi garantire ai tuoi utenti l'esperienza più sicura possibile, usa SSL per i loro invii di accesso. Se ritieni che i tuoi utenti saranno più felici e avranno maggiori probabilità di interagire con il tuo sito Web in modo positivo (ad esempio acquistare cose, fare cose, ecc.), Allora usa SSL per i loro invii di accesso. Se hai qualcosa che vale la pena rubare (ad es. Informazioni utente), utilizza SSL.

Se non hai nulla che valga la pena rubare, non pensare che SSL migliorerà molto la sicurezza, o che i tuoi utenti non la vedranno come una funzionalità utile, quindi potresti considerare di non utilizzare SSL.

Per quanto costa installare un certificato SSL, a meno che tu non abbia un budget ridotto, non è mai un male proteggere l'accesso a un sito. E non lasciare che ciò che altri siti stanno facendo ti influenzino poiché molti siti più grandi non sono tenuti a seguire le migliori pratiche ed è per questo che sembra esserci un flusso costante di notizie su uno che è stato in qualche modo compromesso.

John Conde
fonte
1
+1 "Molti siti più grandi non sono tenuti a seguire le migliori pratiche" - Sono sicuro che ci saranno alcuni titoli ridicoli quando i nigeriani 419 'scopriranno un modo per monetizzare i profili dei siti di appuntamenti rubati :)
danlefree
"a meno che tu non abbia un budget ridotto" - ma io lo sono. Sono davvero, davvero, al punto che sto prendendo in considerazione l'idea di andare m + m su un host condiviso a basso costo piuttosto che pagare molto meno al mese per pagare un anno in anticipo. In questo modo, posso staccare la spina se il sito non inizia a pagarsi da solo in modo relativamente rapido. Penso che per ora mi stia orientando verso no-ssl dato che solo ottenere l'IP statico da solo avrebbe quasi il doppio del mio costo mensile, per non parlare del costo del certificato stesso. Il sito è abbastanza vicino a essere un forum e la maggior parte dei dati è pubblica, quindi non è necessaria la crittografia al di fuori dell'accesso.
AgentConundrum,
@danlefree, è facile. Utilizzare i dettagli personali sui siti di incontri per rispondere alle domande di recupero della password per il sito di posta elettronica e bancario degli utenti. O semplicemente catturare la password, dal momento che le persone riutilizzano le loro password, molto.
Zoredache,
@AgentConundrum Startssl offre un certificato SSL gratuitamente. Se hai un budget limitato ma hai un IP statico, puoi farlo.
Rana Prathap,
@AgentConundrum non hai più bisogno di un IP dedicato per SSL, purché il tuo host supporti SNI (e, in caso contrario, trova un nuovo host perché non sa cosa sta facendo). Puoi ottenere un certificato gratuitamente, quindi non è un costo aggiuntivo ...
Doktor J,
3

Prendendo l'approccio opposto alla risposta di John, penso che si dovrebbe prendere seriamente in considerazione SSL se si gestisce qualsiasi informazioni personali - per includere: i nomi con indirizzi fisici, indirizzi e-mail, informazioni finanziarie, e le comunicazioni che gli utenti avrebbero ragionevolmente aspettarsi di essere privati .

A meno che il tuo sito non fornisca agli utenti un mezzo per pubblicare informazioni su se stessi, dovresti considerare che tutte le informazioni di identificazione personale fornite dai tuoi utenti sono detenute da te e tu solo sotto la massima riservatezza, a meno che la politica sulla privacy del tuo sito non informi diversamente i tuoi utenti.

Impedisci a terzi non autorizzati di visualizzare le informazioni dei tuoi visitatori e mantieni i tuoi utenti informati su come usi le loro informazioni per mantenere la fiducia dei tuoi visitatori.

Anche Facebook lo fa, per quanto ne so.

<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form" onsubmit=";var d=document.documentElement;if (d.onsubmit) { return d.onsubmit(event); }else { return Event.fire(d, &quot;submit&quot;, event); }">

(Fonte HTML di accesso a Facebook.com)

danlefree
fonte
Dispari. Non so come non me ne sia accorto per Facebook. Lo stavo guardando da HTTPFox e in qualche modo mancava la 's' sulla richiesta iniziale. Modificherò per rimuoverlo. Resta il fatto che molti siti lo fanno (reddit, notizie sugli hacker, TDWTF, ecc.), Quindi nella peggiore delle ipotesi non sarei migliore di loro. Il budget è una mia grande preoccupazione, quindi spendere $ 5 / mese extra per un IP statico (su un host $ 8 / mese ...) oltre ad acquistare un certificato decente .. Quasi prenderei in considerazione l'idea di non costruirli luogo.
AgentConundrum,
@AgentConundrum - A rigor di termini, è OK passare una password eseguita attraverso un algoritmo di hashing unidirezionale su HTTP se la password è salata, quindi non sarei troppo sorpreso di vedere un'implementazione di hash MD5 su siti che non utilizzano SSL: pajhome.org.uk/crypt/md5
danlefree
e in che modo costruire un hash sul lato client sarebbe di aiuto? In tal caso, in pratica l'hash è la password . Dovrei essere in grado di catturare l'hash e riprodurlo con la stessa facilità con cui riesco a catturare una password.
Zoredache,
1
@Zoredache Ecco perché l'hash deve essere salato . Ecco come funziona: ti invio la pagina di accesso con un token precompilato che include una microtime()chiamata dal server. L'hash trasmesso è una combinazione della tua password + il microtime()e, una volta ricevuto il tuo hash, invalido la microtime()coppia + password challenge / response (non può essere riutilizzata).
danlefree
3

Ad agosto 2014 Google ha ufficialmente indicato che HTTPS verrà utilizzato come segnale di classifica.

Ciò significa che anche se il tuo sito Web è un sito Web completamente statico, se ti interessa il SEO, dovresti almeno considerare di impostare un certificato SSL.

Ovviamente HTTPS è solo un segnale di classifica su centinaia, quindi probabilmente ci sono cose più importanti che puoi fare per il SEO.

kqw
fonte
Google ha inoltre annunciato che, poiché la creazione di un certificato SSL richiede risorse, è necessario farlo solo se richiesto dal proprio sito Web. In breve, hanno detto che le tue classifiche non saranno interessate solo perché non hai impostato un certificato SSL sul tuo blog personale.
Rana Prathap,
1

Ecco un punto che potresti non aver preso in considerazione: non usare SSL / TLS può esporre i tuoi utenti al monitoraggio passivo anche se il tuo sito non ha accessi.

Un attore di minacce può semplicemente sedersi tra l'utente e il resto di Internet, guardando tutti gli URL richiesti dall'utente e costruendo modelli di cose che l'utente sta visualizzando. I singoli frammenti di informazioni possono effettivamente essere insignificanti in isolamento, ma combinare molti piccoli frammenti di informazioni può creare un quadro molto più ampio.

È per questo motivo che offro HTTPS sul mio sito, che fornisce solo contenuti statici.

zigg
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.