Идет без SSL-сертификатов?

Question

Я работаю на небольшом веб-сайте для местной церкви. Сайт должен позволить администраторам редактировать контент и публиковать новые события/обновления. Единственной «защищенной» информацией, управляемой сайтом, будет информация о регистрации админов и церковный каталог с номерами телефонов и адресами.

Как бы я рисковал, если бы я был без SSL, и просто войдите в систему, используя прямой HTTP? Обычно я даже не думал об этом, но это небольшая церковь, и они должны экономить деньги, где это возможно.

Answer 1

Ну, если вы не используете SSL, вы всегда будете подвергаться более высокому риску, если кто-то попытается нюхать ваши пароли. Вероятно, вам просто нужно оценить фактор риска вашего сайта.

Также помните, что даже если SSL не гарантирует, что ваши данные безопасны. Это действительно все, как вы его кодируете, чтобы убедиться, что вы обеспечиваете дополнительную защиту своего сайта.

Я бы предложил использовать алгоритм шифрования паролей в одностороннем порядке и проверить его.

Кроме того, вы можете получить SSL-сертификаты действительно дешево, я использовал Geotrust раньше и получил сертификат на 250,00. Я уверен, что есть те, которые дешевле.

Answer 2

Простой HTTP уязвим для обнюхивания. Если вы не хотите покупать SSL-сертификаты, вы можете использовать самозаверяющие сертификаты и попросить своих клиентов доверять этому сертификату, чтобы обойти предупреждение, отображаемое браузером (так как ваши аутентифицированные пользователи - всего лишь несколько известных администраторов, этот подход делает совершенным смысл).

Answer 3

В сценарии, который вы описываете, обычные пользователи будут подвергаться захвату сеанса, и вся их информация также будет передана «в ясности». Если вы не используете доверенный ЦС, администраторы могут быть подвергнуты атаке «Человек-в-середине».

Вместо самозаверяющего сертификата вы можете захотеть использовать сертификат от CAcert и установить свои корневые сертификаты в браузере администратора.

Answer 4

Поскольку только ваши администраторы будут использовать безопасный сеанс, просто используйте самозаверяющий сертификат. Это не лучший пользовательский интерфейс, но лучше сохранить эту информацию.

Answer 5

Реально, что гораздо более вероятно, что один из компьютеров, используемых для доступа к веб-сайту, будет скомпрометирован кейлоггером, а HTTP-соединение будет обнюхиваться.

Answer 6

Используйте HTTPS со свободным сертификатом. StartCom является бесплатным и включен в браузер Firefox; поскольку только ваши администраторы будут входить в систему, они могут легко импортировать CA, если они хотят использовать IE.

Не экономьте на безопасности. Как ни странно, я видел веб-сайты, которые похожи на ваши, только для ударов. Это стоит того, чтобы избежать боли.