如果您沒有進行金融交易，是否值得使用https？

Question

嘿，只是一個簡單的問題，任何專家在那裏。我有一個網站，允許用戶通過消息進行交互，並註冊您只需輸入用戶名和密碼，驗證您的年齡，並可選擇添加電子郵件。我想沒有任何敏感信息。是否值得使用https。它會阻止會議高潮，並會妨礙表現嗎？

Answer 1

無論何時使用用戶名/密碼，您都應該使用HTTPS確保整個會話的安全。如果您的密碼暴露在外，您的成本相對於您的用戶的潛在成本而言相當小。研究consistently shows人們對他們訪問的幾乎每個系統都使用相同的密碼。

此外，超出密碼暴露的風險，請考慮您的網站是一種通信工具。冒充用戶的潛在風險或危害是什麼？根據他們的身份發送惡意郵件？

這只是不值得的風險。至少保證運輸安全。

Answer 2

如果您傳輸密碼和電子郵件地址，或任何其他私人或個人身份信息，至少值得。如果存在任何非HTTPS通信，則會話劫持是可能的，但這是許多網站願意接受的風險，並且取決於您的情況。

性能問題取決於您的硬件和堆棧，但HTTPS vs HTTP會有一些性能問題。阻止您保護密碼和敏感用戶信息是不夠的。

Answer 3

我以前也考慮過這個問題。當用戶登錄或更改信息時，我認爲你會想要一個安全的連接。

Answer 4

我認爲只要你有某種登錄處理，你應該保護用戶的密碼。您可以通過https或使用http摘要身份驗證來完成此操作。

我的加密要點是，相當多的用戶將擁有相同的密碼到您的網站，因爲他們有他們的銀行帳戶或類似的東西。即使您網站上的信息不敏感，但密碼確實可以保護重要的內容。

Answer 5

對於某些人而言，密碼和年齡將被視爲敏感信息。你準備好對付一些可能與你有不同看法的人嗎？

Answer 6

是的，需要SSL/TLS來維護安全認證的會話。如果您有登錄帳戶，則登錄的帖子和整個會話必須由https保護。即使您擁有簡單的Web應用程序，將所有流量轉發到https也更加輕鬆和安全。

問題是如果您使用http，會話ID（cookie）可能會泄漏。如果該會話已通過身份驗證，則黑客可以使用該會話ID與服務器進行身份驗證，而無需用戶名和密碼。

這是該OWASP十大A3明確要求：「殘破的認證和會話管理」 http://www.owasp.org/images/0/0f/OWASP_T10_-_2010_rc1.pdf

通過HTTP發送一個cookie，也違反了CWE-614和CWE-311。