it-swarm.asia

هل حقا SSL بالنسبة لمعظم المواقع؟

لقد كنت أشعر بجنون العظمة تجاه تعلم "القيام بالأمان بشكل صحيح" لهذا الموقع الذي أقوم بإنشائه (أول موقع غير تافه قمت بإنشائه) ، وقد لاحظت شيئًا يزعجني: SSL.

لقد قرأت الكثير من مؤشرات ترابط الأمان هنا ، على StackOverflow ، وفي أماكن أخرى تطول باستمرار حول تجديد معرفات الجلسة بعد استخدامات n ، وكيف يجب أن تكون كلمات مرورك مملحة ومجزأة ولا يتم تخزينها بنص عادي. لقد قرأت الكثير عن كيفية اكتشاف وقت اختطاف جلسة ، عن طريق تتبع عناوين IP ووكلاء المستخدم وباستخدام ملفات تعريف ارتباط التتبع.

ما لا أفهمه هو ما يهم أي من هذا عندما يسجل لك موقع الويب الدخول عبر HTTP عاديPOST ويرسل كلمة مرورك عبر السلك بنص عادي؟

أدرك أن جميع الطرق الأخرى التي ذكرتها ضرورية لتقليل تعرضك الكلي ، وربما هناك بعض المواقع التي لا تحتاج إلى هذا القدر الكبير من الأمان على أي حال ، لكن أعتقد أن ما أطلبه هو:

  • عندما لا بأس أن لا تهتم SSL؟

يمكن أن أرى مواقع مثل Gmail ومصرفك ولينكد إن لديكم سبب لاستخدام طبقة المقابس الآمنة (SSL) ، لكن ما الذي يجعل من الجيد أن مواقع مثل Facebook و reddit لا تهتم (الجحيم ، بل PlentyOfFish تخزن كلمة مرورك في نص عادي وحتى رسائل البريد الإلكتروني الخاصة بها لك أسبوعيا كتذكير!؟!)؟

ما مدى اهتمامي بالتأكد من إعداد SSL (خاصة وأنني سأبدأ مع مضيف مشترك ، وأنا رخيصة للغاية للبدء)؟ لن يحتوي موقعي على أي معلومات شخصية خاصة ، إذا كان ذلك مفيدًا. إذا نجح الموقع ، فسأبحث بجدية عن دفع المبلغ الإضافي مقابل الأمان الإضافي.

11
AgentConundrum

إنها مهمة بقدر ما تعتقد أنت والمستخدمون أنها مهمة. إرسال كلمات المرور عبر http كنص عادي يجعلها عرضة لاستنشاق الحزمة. الآن ما إذا كان شخص ما سوف يكلف نفسه عناء استنشاق تلك الحزم هو قصة أخرى كاملة. إذا كنت تريد التأكد من أن المستخدمين يتمتعون بأكثر تجربة آمنة ممكنة ، فاستخدم طبقة المقابس الآمنة (SSL) لعمليات إرسال تسجيل الدخول الخاصة بهم. إذا كنت تعتقد أن المستخدمين سيكونون أكثر سعادة والأرجح أن يتفاعلوا مع موقع الويب الخاص بك بطريقة إيجابية (مثل شراء الأشياء ، القيام بالأشياء ، إلخ) ، فاستخدم SSL لإرسال طلبات تسجيل الدخول الخاصة بهم. إذا كان لديك أي شيء يستحق السرقة (مثل معلومات المستخدم) ، فاستخدم SSL.

إذا لم يكن لديك أي شيء يستحق السرقة ، فلا تعتقد أن طبقة المقابس الآمنة (SSL) ستعزز الأمان كثيرًا أو على الإطلاق ، أو لن يرى المستخدمون لديك كميزة مفيدة ، فقد ترغب في التفكير في عدم استخدام طبقة المقابس الآمنة.

مقابل تكلفة تثبيت شهادة طبقة مآخذ توصيل آمنة (SSL) ، ما لم تكن على ميزانية متقلبة ، فلن يكون تأمين معلومات تسجيل دخول الموقع أمرًا سيئًا أبدًا. ولا تدع ما تفعله المواقع الأخرى يؤثر عليك لأن العديد من المواقع الكبيرة لا يلزم اتباع أفضل الممارسات ولهذا السبب يبدو أن هناك دفقًا ثابتًا من القصص الإخبارية حول تعرض أحدها للخطر بطريقة ما.

7
John Conde

باتباع النهج المعاكس لإجابة John ، أعتقد أنه يجب عليك التفكير بجدية في طبقة المقابس الآمنة (SSL) إذا قمت بمعالجة أي معلومات التعريف الشخصية - لتضمينها: الأسماء ذات العناوين الفعلية وعناوين البريد الإلكتروني والمعلومات المالية والاتصالات التي يتوقع المستخدمون أن يكونوا من القطاع الخاص.

ما لم يوفر موقعك وسيلة للمستخدمين لنشر المعلومات عن أنفسهم ، يجب عليك أن تفكر في الاحتفاظ بأي معلومات تعريف شخصية يقدمها المستخدمون لك وأنت تحت ثقتها التامة فقط ما لم تبلغ سياسة خصوصية موقعك المستخدمين لديك بخلاف ذلك.

منع الجهات الخارجية غير المصرح لها من رؤية معلومات الزوار الخاصة بك وإطلاع المستخدمين على كيفية استخدام معلوماتهم للحفاظ على ثقة زوارك.

حتى فيسبوك يفعل هذا ، بقدر ما أستطيع أن أقول.

<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form" onsubmit=";var d=document.documentElement;if (d.onsubmit) { return d.onsubmit(event); }else { return Event.fire(d, &quot;submit&quot;, event); }">

(Facebook.com تسجيل الدخول مصدر HTML)

3
danlefree

اعتبارًا من أغسطس 2014 أشارت Google رسميًا سيتم استخدام HTTPS كإشارة تصنيف.

هذا يعني أنه حتى لو كان موقع الويب الخاص بك موقعًا ثابتًا تمامًا ، فإذا كنت مهتمًا بـ SEO ، فيجب عليك على الأقل إعداد شهادة SSL.

بالطبع HTTPS ليست سوى إشارة تصنيف واحدة من بين المئات ، لذلك ربما هناك أشياء أكثر أهمية يمكنك القيام بها لكبار المسئولين الاقتصاديين.

3
guaka

إليك زاوية ربما لم تفكر بها: عدم استخدام طبقة المقابس الآمنة/TLS يمكن أن يعرض مستخدميك للمراقبة السلبية حتى لو كان موقعك ليس لديه معلومات تسجيل دخول.

قد يقع الفاعل المهدد ببساطة بين المستخدم وبقية الإنترنت ، حيث يراقب جميع عناوين URL لطلبات المستخدم وأنماط الأشياء التي يراها المستخدم. قد تكون الأجزاء الفردية من المعلومات غير مهمة في الواقع بمعزل عن غيرها ، ولكن دمج الكثير من المعلومات الصغيرة يمكن أن يخلق صورة أكبر بكثير.

ولهذا السبب ، أقدم HTTPS على موقعي الخاص ، والذي يوفر محتوى ثابتًا فقط.

1
zigg