Форма входа без ssl

Question

Существует множество ответов stackoverflow, в которых говорится, что вы никогда не должны вводить свою форму входа на страницу HTTP, но всегда используете HTTPS. Но я вижу, что многие крупные сайты делают это в любом случае, например, The New York Times. Считается ли это правильным, если у меня нет абсолютно никакой ценной информации на моем сайте? Нет никаких транзакций и личной информации. Это эквивалентно блогу или новостному сайту. Я бы очень хотел подписать пользователей с помощью коробки на главной странице, например The New York Times.

Answer 1

Нет, это не нормально.

Если пользователи повторно использовать тот же пароль, то это может поставить под угрозу более важные счета

Потому что это небезопасно, Firefox предупреждает в журнале консоли, что он не защищен.

Если вы хотите получить логин на своей главной странице, почему бы не просто использовать https везде? Это проще настроить и быстрее (с spdy/http2), чем http, и вы уверены, что никто не вставляет рекламу на ваш сайт (некоторые интернет-провайдеры делают, чем на http ...)

И, логин/пароль - это личная информация. В большинстве стран, как и в Европе, у вас есть обязательство по защите.

О Нью-Йорк Таймс, да, они используют http, но труднее переносить большой веб-сайт. Но да, они должны использовать https.

Обратите внимание, что одного только https недостаточно: ваш сайт может быть уязвим для атак sslstrip. При запросе паролей или личной информации вы должны использовать HSTS, единственную защиту от этой атаки. (Это приведет к соединению https, но для этого вы должны активировать https для всего домена)