嘿,只是一個簡單的問題,任何專家在那裏。我有一個網站,允許用戶通過消息進行交互,並註冊您只需輸入用戶名和密碼,驗證您的年齡,並可選擇添加電子郵件。我想沒有任何敏感信息。是否值得使用https。它會阻止會議高潮,並會妨礙表現嗎?如果您沒有進行金融交易,是否值得使用https?
回答
無論何時使用用戶名/密碼,您都應該使用HTTPS確保整個會話的安全。如果您的密碼暴露在外,您的成本相對於您的用戶的潛在成本而言相當小。研究consistently shows人們對他們訪問的幾乎每個系統都使用相同的密碼。
此外,超出密碼暴露的風險,請考慮您的網站是一種通信工具。冒充用戶的潛在風險或危害是什麼?根據他們的身份發送惡意郵件?
這只是不值得的風險。至少保證運輸安全。
如果您傳輸密碼和電子郵件地址,或任何其他私人或個人身份信息,至少值得。如果存在任何非HTTPS通信,則會話劫持是可能的,但這是許多網站願意接受的風險,並且取決於您的情況。
性能問題取決於您的硬件和堆棧,但HTTPS vs HTTP會有一些性能問題。阻止您保護密碼和敏感用戶信息是不夠的。
感謝您的建議。 – Scarface 2010-03-30 21:18:51
我以前也考慮過這個問題。當用戶登錄或更改信息時,我認爲你會想要一個安全的連接。
我認爲只要你有某種登錄處理,你應該保護用戶的密碼。您可以通過https或使用http摘要身份驗證來完成此操作。
我的加密要點是,相當多的用戶將擁有相同的密碼到您的網站,因爲他們有他們的銀行帳戶或類似的東西。即使您網站上的信息不敏感,但密碼確實可以保護重要的內容。
對於某些人而言,密碼和年齡將被視爲敏感信息。你準備好對付一些可能與你有不同看法的人嗎?
是的,需要SSL/TLS來維護安全認證的會話。如果您有登錄帳戶,則登錄的帖子和整個會話必須由https保護。即使您擁有簡單的Web應用程序,將所有流量轉發到https也更加輕鬆和安全。
問題是如果您使用http,會話ID(cookie)可能會泄漏。如果該會話已通過身份驗證,則黑客可以使用該會話ID與服務器進行身份驗證,而無需用戶名和密碼。
這是該OWASP十大A3明確要求:「殘破的認證和會話管理」 http://www.owasp.org/images/0/0f/OWASP_T10_-_2010_rc1.pdf
- 1. 下載金融交易
- 2. SQL查詢來查找金融交易
- 3. 使用OpenID與SSL和金融交易的安全問題
- 4. 交易失敗每次我在https://test.payu.in/_payment_options上進行交易
- 5. 您的金融機構已表示無法成功驗證此交易。
- 6. 使用Hibernate進行交易
- 7. JpaItemWriter:沒有交易正在進行中
- 8. 沒有交易正在進行
- 9. 我們可以使用RubyOnRails爲銀行和金融交易領域
- 10. 沒有交易正在進行中JTA交易
- 11. 交易沒有結果
- 12. 交易是否可能沒有@Version annos
- 13. 如何建模在Rails的半金融交易
- 14. 我應該如何建模這些簡單的金融交易?
- 15. 用於生成金融交易彙總報告的SQL
- 16. 如何保持交易的運行餘額並獲得交易後的金額
- 17. YQL金融在結果中得到空
- 18. 是否可以使用多個文件進行Redshift交易?
- 19. 如何獲得超過100 000個交易和多個交易的交易的Originator_Account_Id。沒有使用有條款?
- 20. 是谷歌應用程序引擎適用於交易性金融形勢
- 21. 「沒有交易正在進行中」的錯誤,而使用@Transactional
- 22. 是否有可能進行交易忽略
- 23. 如何使用bitsharp庫從您的錢包取得交易
- 24. 計算的金融時間序列回報與交易信號
- 25. 金融交易的標準協議和Messaing標準?
- 26. 比較兩個大文件來協調金融交易
- 27. 沒有交易
- 28. 有沒有人用braintree進行基於令牌的交易?
- 29. 安全問題涉及運行涉及金融交易的cron作業
- 30. 如果您無法使用交易,您如何有效地在企業環境中使用Web服務?
順便說一句,你得到了錯誤的答案。它違背了OWASP前10名的會話安全性。整個會話必須使用https保護,否則沒有意義。 – rook 2010-03-30 19:43:43
@The Rook:由於這個推理,我的前門鎖完全沒用,因爲有辦法通過它。它會阻止那些不想做可見傷害的隨便竊賊,這是一個加分。如果整個會話是https(即使這對大多數證書的中間人來說都很脆弱),但只是爲了登錄纔會停止一些攻擊,這會更好。 – 2010-03-30 20:21:09
@david,其實是的,你的前門是沒用的,它可以很容易地被拿走,別針杯是一種可怕的技術。另外,我同意owasp,如果你泄露了會話ID,那麼攻擊者可以像使用密碼一樣使用它。此外,SSL/TLS會阻止MITM,這就是它的目的。 (爲了爭論而忽略SSLStrip;) – rook 2010-03-30 20:26:32