【问题标题】:Unsure if I need SSL or alternative [closed]不确定我是否需要 SSL 或替代方案 [关闭]
【发布时间】:2013-09-03 15:33:00
【问题描述】:

我的网站目前没有 SSL(由于成本原因)。它有一个登录表单,这就是我认为我需要 SSL 的原因。但是,我实际上不存储任何密码,只存储用户名;我的登录表单获取 POST 的用户名/密码,并通过 cURL 将其发送到 https 安全登录表单,然后返回一个是或否,可以这么说,给我的服务器。

考虑到这一点,SSL 证书是否绝对必要,或者是否有成本更低的替代方案来保护我的表单?

【问题讨论】:

  • SSL 保护在客户端和服务器之间传输的数据,为什么您不存储它这一事实很重要?
  • 这不是绝对必要的 - 但请确保您的用户知道他们发送给您的数据不受保护。
  • 没有 SSL,您仍然在用户浏览器和您的服务器之间以明文形式传输用户名/密码
  • SSL 实际上与存储数据没有任何关系,但更多的是与数据的安全传输有关。我想说的是,您正在从事的项目类型应该会影响您是否购买证书的决定。

标签: php security curl ssl


【解决方案1】:

如果不使用 TLS,用户名和密码就会暴露给任何监听流量的人。

这是一个问题,因为即使您的网站是“低价值”的,攻击者是否能够窃取其他人的凭据也没关系,人们重复使用密码。

因此,如果不保护您的网站,您就会让您的用户面临不必要的风险。攻击者可以了解用户名和密码,并尝试将这些凭据重新用于他们的 {email、bank、work 等} 帐户。

正如其他人所指出的,SSL/TLS 保护的是动态数据,而不是静态数据。您没有任何敏感的存储数据这一事实与决定是否保护您的流量无关。

正如 Elon 所指出的,您可以获得低保证的免费 TLS 证书,这总比没有好。

请记住至少通过 HTTPS 提供整个登录页面,否则根本没有任何意义。

【讨论】:

    【解决方案2】:

    最好加上 SSL 支持。

    您可以从这里免费获得 SSL 证书https://www.startssl.com/(它是受信任的证书,因此用户不会看到警告消息,因为他会看到自己生成的证书)。

    【讨论】:

      猜你喜欢
      • 2011-05-05
      • 2021-11-26
      • 2011-10-03
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2019-09-13
      • 2012-08-04
      • 2012-10-08
      相关资源
      最近更新 更多