我正在爲一個經紀人開發一個網站(JSF 2 + richfaces + oracle 10g),並且我想對你有關於HTTPS的意見(因爲我認爲這對我來說不是必要的,因爲用戶不會給任何重要細節)。是否必須使用SSL?
所以:
在我的情況下是否需要使用SSL?
是的,它確實聽起來像它。身份驗證通常涉及向服務器發送用戶名/密碼組合。那應該是永不以明文形式完成,所以這個要求本身就會使SSL成爲一個好主意。此外,買賣股票聽起來像是你想要以安全的方式做的事情。
我甚至都不明白你關心的是什麼。擁有受SSL保護的網站並不意味着您必須編寫一行代碼。這只是購買SSL證書和配置您的Web服務器的問題。
我認爲這確實是必要的,因爲它涉及真錢。即使用戶沒有提供任何細節,用戶和服務器之間仍然存在中間人攻擊,這將使任何人都能夠憑藉其憑證訪問服務器。
如果它不涉及真正的金錢(它沒有清楚地寫出來),那麼你不一定會需要它。
如果用戶通過任何敏感的東西(我認爲股票交易賬戶的號碼非常敏感),那麼在我看來,HTTPS是至關重要的。
我看到你描述的方式,你有一個用戶標識自己,然後你基本上通過網絡傳遞關於他/她的帳戶的所有信息。絕對保證儘可能。
在沒有使用HTTPS或一次性密碼系統的情況下,沒有「好」的方式來獲得身份驗證令牌(在您的情況下是密碼)。
無論如何,我肯定希望這種類型的訪問是HTTPS安全的,否則我可能不會相信它。
因爲我擔心它會影響帶寬。 – mohamida 2010-12-08 15:07:34