Было бы полезно использовать SSL на бэкэнд CMS? Единственными конфиденциальными данными, о которых я могу думать, является пароль. Пароль, как и сейчас, зашифрован с помощью MCRYPT_RIJNDAEL_256 и ключа.Должен ли я использовать SSL для защиты бэкэнда CMS?
Любые комментарии оцениваются :)
Да, вы абсолютно должны. Хотя вы используете хорошее шифрование, если только вы не добавляете СОЛЬ к паролю, его, вероятно, легко можно найти в предварительно вычисленной хеш-таблице (таблица радуги), и вы, вероятно, сможете найти ее в сети в считанные секунды.
CMS - это то, над чем вы определенно хотите быть в безопасности, поскольку оно потенциально дает кому-то полный доступ к контенту вашего сайта, чтобы злонамеренно изменить его, или, возможно, использовать оттуда, чтобы получить доступ к серверу или отключить ваш логин.
Https на самом деле не добавляет никаких накладных расходов, но его очень просто добавить. Я бы порекомендовал его, хотя он не будет обеспечивать совершенную безопасность, а некоторые лучше, чем никто!
Вы должны хранить хэшированные пароли, а не зашифрованные. – SLaks
Я сделаю это, спасибо. – bmla
Спасибо. Я посмотрю, что я могу найти на security.stackexchange.com. Вероятно, это приведет к покупке сертификата. – bmla