J'ai été assez paranoïaque pour apprendre à "bien faire la sécurité" pour ce site que je construis (premier site non trivial que j'ai créé), et j'ai remarqué quelque chose qui me dérange: SSL.
J'ai lu de nombreux threads de sécurité ici, sur StackOverflow et ailleurs, qui parlent longuement de la régénération des identifiants de session après n utilisations et de la façon dont vos mots de passe doivent être salés, hachés et jamais stockés en texte brut. J'ai lu beaucoup de choses sur la façon de détecter lorsqu'une session a été piratée, en suivant les adresses IP, les agents utilisateurs et en utilisant les cookies de suivi.
Ce que je ne comprends pas, c'est ce qui importe lorsque le site Web vous connecte via un POST HTTP normal et envoie votre mot de passe sur le fil en texte brut?
Je comprends que toutes les autres méthodes que j'ai énumérées sont nécessaires pour réduire votre exposition globale, et peut-être qu'il y a des sites qui n'ont tout simplement pas besoin de beaucoup de sécurité de toute façon, mais je suppose que ce que je demande est:
- Quand est-il acceptable de ne pas s'embêter avec SSL?
Des sites comme Gmail, votre banque et LinkedIn, je peux voir qu'il y a une raison d'utiliser SSL, mais ce qui fait que des sites comme Facebook et reddit ne dérangent pas (bon sang, PlentyOfFish stocke même votre mot de passe en texte brut et même par e-mail) à vous chaque semaine pour rappel!?!)?
Dans quelle mesure devrais-je m'inquiéter de m'assurer que SSL est configuré (d'autant plus que je commencerais avec un hôte partagé et que je suis assez bon marché pour commencer)? Mon site ne contiendra aucune information particulièrement personnelle, si cela vous aide. Si le site devient un succès, j'envisagerais sérieusement de payer le supplément pour la sécurité supplémentaire.
la source
En adoptant l'approche opposée à la réponse de John, je pense que vous devriez sérieusement considérer SSL si vous manipulez des informations personnellement identifiables - pour inclure: les noms avec des adresses physiques, des adresses e-mail, des informations financières et des communications que les utilisateurs pourraient raisonnablement s'attendre à être privées .
À moins que votre site ne permette aux utilisateurs de publier des informations sur eux-mêmes, vous devez considérer que toutes les informations personnellement identifiables fournies par vos utilisateurs sont détenues par vous et uniquement sous une stricte confidentialité, à moins que la politique de confidentialité de votre site n'en informe autrement vos utilisateurs.
Empêchez les tiers non autorisés de voir les informations de vos visiteurs et tenez vos utilisateurs informés de la façon dont vous utilisez leurs informations pour maintenir la confiance de vos visiteurs.
(Source HTML de connexion Facebook.com)
la source
microtime()
appel du serveur. Votre hachage transmis est une combinaison de votre mot de passe + lemicrotime()
et, une fois que j'ai reçu votre hachage, j'invalide lamicrotime()
paire défi / réponse + mot de passe (il ne peut pas être réutilisé).En août 2014, Google a officiellement indiqué que HTTPS serait utilisé comme signal de classement.
Cela signifie que même si votre site Web est un site Web complètement statique, si vous vous souciez du référencement, vous devriez au moins envisager de configurer un certificat SSL.
Bien sûr, HTTPS n'est qu'un signal de classement sur des centaines, il y a donc probablement des choses plus importantes que vous pouvez faire pour le référencement.
la source
Voici un angle que vous n'avez peut-être pas considéré: ne pas utiliser SSL / TLS peut exposer vos utilisateurs à une surveillance passive même si votre site n'a pas de connexion.
Un acteur de la menace peut simplement s'asseoir entre votre utilisateur et le reste d'Internet, regarder toutes les URL que votre utilisateur demande et créer des modèles de choses que votre utilisateur consulte. Les informations individuelles peuvent certes être insignifiantes isolément, mais la combinaison de nombreuses informations peut créer une image beaucoup plus large.
C'est pour cette raison que je propose HTTPS sur mon propre site, qui ne fournit que du contenu statique.
la source