【发布时间】:2009-05-18 16:16:24
【问题描述】:
我正在为当地教会开发一个小型网站。该站点需要允许管理员编辑内容并发布新事件/更新。该站点管理的唯一“安全”信息将是管理员的登录信息以及带有电话号码和地址的教堂目录。
如果我不使用 SSL 并且只让用户使用直接 HTTP 登录,我会有多大的风险?通常我什至不会考虑这个,但这是一个小教堂,他们需要尽可能地省钱。
【问题讨论】:
【发布时间】:2009-05-18 16:16:24
【问题描述】:
由于只有您的管理员会使用安全会话,因此只需使用自签名证书即可。这不是最好的用户体验,但最好保护这些信息的安全。
【讨论】:
-
它无法抵抗中间人攻击,但是……真的,谁在乎呢? :-)
-
@Vincent,这不是真的。如果管理员添加自签名证书,那么它确实可以防止中间人攻击。如果证书更改,管理员将收到警报。当然,这对整个用户社区来说是不可能的,但仅仅要求几个管理员添加证书也不算什么。
使用带有免费证书的 HTTPS。 StartCom 是免费的,并且包含在 Firefox 浏览器中;由于只有您的管理员会登录,因此如果他们想使用 IE,他们可以轻松导入 CA。
不要吝啬安全。有趣的是,我看到听起来与您的网站相似的网站只是为了好玩而被污损。这是值得努力避免的。
【讨论】:
-
但是免费证书是否会提供绿色条?
-
@Pacerier 不,问题不涉及电动汽车。 EV 的发明是为了通过实际做 CA 一开始就应该做的事情来赚更多的钱。我不知道有任何免费的 EV 证书。
-
无论如何我想问.. 你知道为什么 facebook 和 google 不使用电动汽车吗?
好吧,如果您不使用 SSL,那么有人试图嗅探您的密码的风险总是会更高。您可能只需要评估您网站的风险因素。
还请记住,即使使用 SSL 也不能保证您的数据是安全的。真正重要的是您如何对其进行编码,以确保为您的网站提供额外的保护。
我建议使用单向密码加密算法并以这种方式进行验证。
另外,您可以获得非常便宜的 SSL 证书,我之前使用过 Geotrust,并获得了 250.00 的证书。我相信那里有更便宜的。
【讨论】:
-
Go Daddy 目前售价 15.29 美元。我一直使用 Comodo,价格从 65 美元左右开始上涨。
-
啊,太好了!那比地理信托便宜得多:)
在您描述的场景中,普通用户将面临会话劫持,并且他们的所有信息也将“以明文方式”传输。除非您使用受信任的 CA,否则管理员可能会受到中间人攻击。
您可能要考虑使用来自CAcert 的证书,而不是自签名证书,并在管理员的浏览器中安装其根证书。
【讨论】:
普通 HTTP 容易被嗅探。如果您不想购买 SSL 证书,您可以使用自签名证书并要求您的客户信任该证书以规避浏览器显示的警告(因为您的经过身份验证的用户只是少数已知的管理员,这种方法非常完美感觉)。
【讨论】:
实际上,用于访问网站的其中一台计算机被键盘记录器入侵的可能性比 HTTP 连接被嗅探的可能性要大得多。
【讨论】: