Będziesz bez certyfikatów SSL?

Question

Pracuję na małej stronie internetowej dla lokalnego kościoła. Witryna musi umożliwiać administratorom edycję treści i publikowanie nowych zdarzeń/aktualizacji. Jedynymi "bezpiecznymi" informacjami zarządzanymi przez witrynę będą dane logowania administratorów oraz katalog kościołów z numerami telefonów i adresami.

Jak zagrożony byłbym, gdybym był bez SSL i po prostu logowałbym użytkowników za pomocą prostego protokołu HTTP? Zwykle nawet bym o tym nie pomyślał, ale to mały kościół i muszą oszczędzać, gdzie tylko to możliwe.

Answer 1

Cóż, jeśli nie korzystasz z protokołu SSL, zawsze będziesz narażony na większe ryzyko dla kogoś, kto próbuje wykryć twoje hasła. Najprawdopodobniej wystarczy ocenić czynnik ryzyka swojej witryny.

Pamiętaj też, że nawet posiadanie SSL nie gwarantuje, że Twoje dane są bezpieczne. To naprawdę wszystko, w jaki sposób kodujesz, aby zapewnić dodatkową ochronę swojej witryny.

Proponuję użyć algorytmu szyfrowania w jedną stronę i zatwierdzić w ten sposób.

Ponadto można uzyskać certyfikaty SSL naprawdę tanie, użyłem Geotrust wcześniej i otrzymałem certyfikat za 250,00. Jestem pewien, że są tacy, którzy są tańsi.

Answer 2

Zwykły HTTP jest podatny na wąchanie. Jeśli nie chcesz kupować certyfikatów SSL, możesz użyć certyfikatów z podpisem własnym i poprosić klientów, aby zaufali certyfikatowi, aby obejść ostrzeżenie wyświetlane przez przeglądarkę (ponieważ uwierzytelnieni użytkownicy to tylko kilku znanych administratorów, to podejście idealnie się sprawdza sens).

Answer 3

W opisywanym scenariuszu zwykli użytkownicy będą narażeni na przechwytywanie sesji, a wszystkie ich informacje zostaną również przekazane "w czysty" sposób. O ile nie używasz zaufanego CA, administratorzy mogą być narażeni na atak typu Man-in-the-middle.

Zamiast certyfikatu z podpisem własnym warto rozważyć skorzystanie z certyfikatu od CAcert i zainstalowanie jego certyfikatów głównych w przeglądarce administratora.

Answer 4

Ponieważ tylko twoi administratorzy będą używać bezpiecznej sesji, wystarczy użyć samopodpisanego certyfikatu. To nie jest najlepszy użytkownik, ale lepiej chronić te informacje.

Answer 5

Realistycznie rzecz biorąc, jest o wiele bardziej prawdopodobne, że jeden z komputerów używanych do uzyskania dostępu do strony internetowej zostanie naruszony przez keylogger, niż połączenie HTTP zostanie wykryte.

Answer 6

Użyj HTTPS z bezpłatnym certyfikatem. StartCom jest bezpłatny i uwzględniony w przeglądarkach Firefox; ponieważ tylko administratorzy będą się logować, mogą z łatwością zaimportować urząd certyfikacji, jeśli chcą używać IE.

Nie marnuj pieniędzy na bezpieczeństwo. Anegdotycznie widziałem strony internetowe, które brzmią podobnie do twoich zepsutych tylko dla kopnięć. Jest to coś, co warto zrobić, aby uniknąć.