2009-05-18 50 views
5

Tôi đang làm việc trên một trang web nhỏ cho một nhà thờ địa phương. Trang web cần cho phép quản trị viên chỉnh sửa nội dung và đăng sự kiện/cập nhật mới. Thông tin "an toàn" duy nhất được quản lý bởi trang web sẽ là thông tin đăng nhập của quản trị viên và thư mục nhà thờ có số điện thoại và địa chỉ.Không có Chứng chỉ SSL?

Tôi có nguy cơ như thế nào nếu tôi đi mà không có SSL và chỉ đăng nhập người dùng bằng HTTP thẳng? Thông thường tôi thậm chí sẽ không xem xét điều này, nhưng đó là một nhà thờ nhỏ và họ cần phải tiết kiệm tiền bất cứ nơi nào có thể.

Trả lời

3

Vâng, nếu bạn không sử dụng SSL, bạn sẽ luôn có nguy cơ cao hơn đối với ai đó đang cố gắng đánh cắp mật khẩu của bạn. Bạn có thể chỉ cần đánh giá yếu tố rủi ro của trang web của bạn.

Cũng nên nhớ rằng ngay cả khi SSL không đảm bảo rằng dữ liệu của bạn vẫn an toàn. Nó thực sự là tất cả trong cách bạn mã nó để đảm bảo rằng bạn cung cấp bảo vệ thêm cho trang web của bạn.

Tôi khuyên bạn nên sử dụng thuật toán mã hóa mật khẩu một chiều và xác thực theo cách đó.

Ngoài ra, bạn có thể nhận chứng chỉ SSL thực sự rẻ, tôi đã sử dụng Geotrust trước và nhận được chứng nhận cho 250,00. Tôi chắc chắn có những người ở đó rẻ hơn.

+1

Hiện tại là $ 15,29 từ Go Daddy. Tôi đã luôn luôn sử dụng Comodo mà đi lên từ khoảng $ 65. – rick

+0

ahh tốt đẹp! đó là cách rẻ hơn sau đó geotrust :) – CodeLikeBeaker

1

HTTP đồng bằng dễ bị đánh hơi. Nếu bạn không muốn mua chứng chỉ SSL, bạn có thể sử dụng chứng chỉ tự ký và yêu cầu khách hàng tin tưởng chứng chỉ đó để phá vỡ cảnh báo được trình duyệt hiển thị (vì người dùng được xác thực của bạn chỉ là một vài quản trị viên nổi tiếng. giác quan).

3

Trong trường hợp bạn mô tả người dùng thông thường sẽ bị tấn công trong phiên và tất cả thông tin của họ cũng sẽ được chuyển "rõ ràng". Trừ khi bạn sử dụng một CA đáng tin cậy, các quản trị viên có thể bị tấn công Man-in-the-middle.

Thay vì chứng chỉ tự ký, bạn có thể muốn xem xét sử dụng chứng chỉ từ CAcert và cài đặt chứng chỉ gốc trong trình duyệt của quản trị viên.

6

Vì chỉ quản trị viên của bạn mới sử dụng phiên bảo mật, chỉ cần sử dụng chứng chỉ tự ký. Đây không phải là trải nghiệm người dùng tốt nhất, nhưng tốt hơn là giữ an toàn cho thông tin đó.

+0

nó không chống lại một cuộc tấn công man-in-the-middle, nhưng ... thực sự, những người quan tâm? :-) – Vincent

+0

@Vincent, điều đó không đúng. Nếu các quản trị viên thêm chứng chỉ tự ký, thì nó sẽ ngăn chặn các cuộc tấn công man-in-the-middle. Quản trị viên sẽ được cảnh báo nếu chứng chỉ thay đổi. Tất nhiên, điều này sẽ không thể hỏi về toàn bộ cộng đồng người dùng, nhưng không nhiều khi chỉ hỏi một vài quản trị viên để thêm chứng chỉ. – Ethan

1

Thực tế, nhiều khả năng một trong các máy tính được sử dụng để truy cập vào trang web sẽ bị xâm phạm bởi keylogger hơn kết nối HTTP sẽ bị đánh hơi.

4

Sử dụng HTTPS với chứng chỉ miễn phí. StartCom miễn phí và được bao gồm trong trình duyệt Firefox; vì chỉ quản trị viên của bạn mới đăng nhập được, họ có thể dễ dàng nhập CA nếu họ muốn sử dụng IE.

Đừng tiết kiệm bảo mật. Theo giai thoại, tôi đã thấy các trang web có âm thanh tương tự như trang web của bạn bị xóa chỉ vì các cú đá. Đó là một cái gì đó đáng để tránh đau.

+0

Nhưng một chứng chỉ miễn phí có cung cấp một thanh màu xanh lục không? – Pacerier

+0

@Pacerier Không, câu hỏi không hỏi về EV.EV được phát minh để kiếm nhiều tiền hơn bằng cách thực sự làm những gì mà CA dự kiến ​​sẽ làm ngay từ đầu. Tôi không biết bất kỳ giấy chứng nhận EV miễn phí nào. – erickson

+0

anyway tôi muốn hỏi .. bạn có xảy ra để biết tại sao facebook và google không sử dụng EVs? – Pacerier

Các vấn đề liên quan