身份驗證系統需要ssl嗎？

Question

我正在開發一個網站的視頻。我在我的網站沒有任何交易。我有一個登錄系統。

您是否認爲我需要SSL登錄系統？我甚至集成了Facebook，所以大多數用戶會使用他們的Facebook帳戶登錄。

對於像我這樣的網站，ssl是否有其他選擇？

Answer 1

任何通過互聯網傳遞而不使用SSL/TLS（或等效系統來加密/保護您傳遞的信息的機密性）的任何內容都必須被假定爲完全泄露並且任何人都可以看到。在您的情況下，這將包括用戶名，密碼和會話令牌，這可能允許攻擊者瞭解您的UN/PW組合，以便他們長期冒充用戶，會話令牌可以充當登錄用戶。

你需要保護這個嗎？絕對是一個風險決定。您的數據的敏感程度如何？如果這種妥協發生會有什麼後果？如果您的用戶名和密碼要提供給全世界，您的用戶會如何看待？由於用戶傾向於在網站中重複使用密碼，因此如果發生這種情況，您的網站聲譽（以及聲譽）會受到一定程度的損害。

基於Facebook的登錄可能會發生同樣的情況。這使用OAuth，它只是從客戶端發送到服務器的不記名令牌。如果這是在SSL/TLS隧道之外發送的，那麼它必須被認爲是受到攻擊的，並且根據持票人令牌的工作原理，任何人都可以看到該令牌並重新使用它並充當用戶。

基本上，SSL/TLS價格便宜，無論是來自受尊重和可信的CA以及服務器功率/延遲的證書成本。如果您的用戶基數很大，那麼使用SSL/TLS很可能是一個非常簡單的決定。

Answer 2

很多人在不同的網站上使用相同的登錄名，所以爲了防止竊聽，建議使用ssl。

如果你所擔心的價格，你不這樣做對你的網站進行任何交易，你可以嘗試得到一個免費的證書：https://www.startssl.com/?app=1

Answer 3

我會認真考慮使用第三方的OpenID或OAuth的提供者作爲認證系統。處理登錄有很多注意事項。用戶通常使用弱哈希函數來存儲密碼的自定義登錄系統處於危險之中。一個很好的例子是Gawker leak which used DES for password storage。相當可怕的東西，特別是當你認爲這完全可以避免。

很明顯，您需要SSL通過網絡傳輸用戶名和密碼。但實際上，用戶使用cookie值或會話令牌對您的應用程序進行了身份驗證。這是真實身份驗證方法和爲什麼OWASP a9要求此值永遠不會泄漏到不安全的通道上。

如果您的網站值得一提，請使用SSL來保護您的用戶會話。如果你的網站沒用，沒有人關心有一個帳戶，那麼爲什麼要建立它？