5
我正在爲一個當地教堂的小網站工作。該網站需要允許管理員編輯內容併發布新的事件/更新。由該網站管理的唯一「安全」信息將是管理員的登錄信息和帶有電話號碼和地址的教堂目錄。沒有SSL證書?
如果我沒有使用SSL並只讓用戶使用直接HTTP登錄,我將會面臨怎樣的風險?通常我甚至不會考慮這一點,但它是一個小教堂,他們需要儘可能地節省資金。
Q
沒有SSL證書?
A
回答
3
那麼,如果你不使用SSL,對於試圖嗅探你的密碼的人來說,你總是會面臨更高的風險。您可能只需要評估您網站的風險因素。
還要記住,即使擁有SSL也不能保證您的數據是安全的。這完全取決於您如何對其進行編碼,以確保爲您的網站提供額外的保護。
我會建議使用單向密碼加密algorythm並驗證那種方式。
此外,你可以得到真正便宜的SSL證書,我以前使用過Geotrust並獲得了250.00的認證。我相信那裏有更便宜的。
1
純HTTP容易受到嗅探。如果您不想購買SSL證書,則可以使用自簽名證書,並要求客戶信任該證書以規避瀏覽器顯示的警告(因爲您的身份驗證用戶只是幾個已知的管理員,這種方法使得完美感)。
3
在你描述的場景中,普通用戶會受到會話劫持的侵害,他們的所有信息也將被「明文傳輸」。除非您使用受信任的CA,否則管理員可能會遇到Man-in-the-the-middle攻擊。
取代自簽名證書,您可能需要考慮使用來自CAcert的證書,並在管理員的瀏覽器中安裝其根證書。
6
由於只有您的管理員將使用安全會話,只需使用自簽名證書即可。這不是最好的用戶體驗,但最好保持信息的安全。
+0
它不抵抗中間人攻擊,但是......真的,誰在乎? :-) – Vincent 2011-07-23 13:58:57
1
實際上,用於訪問該網站的計算機之一將被鍵盤記錄程序侵害的可能性要大於HTTP連接被嗅探的可能性。
4
使用帶有免費證書的HTTPS。 StartCom是免費的,並且包含在Firefox瀏覽器中;因爲只有您的管理員才能登錄,所以如果他們想使用IE,他們可以輕鬆導入CA.
不要吝嗇安全。有趣的是,我看到類似於你的網站只是爲了踢球而塗污。這是值得采取的措施來避免的。
相關問題
- 1. SSL證書沒有通過
- 2. 沒有主機名的SSL證書
- 3. WCF wsHttpBinding securiy沒有SSL和證書
- 4. 沒有域名的SSL證書
- 5. SSL證書沒有自動出現
- 6. SSL證書沒有日期錯誤
- 7. APN SSL證書有效期
- 8. SSL證書認證
- 9. Cloudflare SSL證書
- 10. SSL證書
- 11. SSL證書域
- 12. SSL證書Socket.io
- 13. SSL證書
- 14. CNAME SSL證書
- 15. Umbraco - SSL證書
- 16. SSL證書
- 17. SSL和證書
- 18. android ssl證書
- 19. SSL證書IIS
- 20. ssl證書鏈
- 21. curl ssl證書
- 22. 沒有ssl證書的域重定向到不同的ssl域
- 23. 解析+ mongodb + SSL:「沒有由對等提供的SSL證書」
- 24. 購買SSL證書
- 25. SSL中級證書
- 26. 個人SSL證書
- 27. SSL證書測試
- 28. SSL證書安裝
- 29. SSL證書更換
- 30. 導出SSL證書
目前是Go Daddy的15.29美元。我一直使用從65美元左右上漲的Comodo。 – rick 2009-05-18 16:29:31
很好!這是更便宜,然後geotrust :) – CodeLikeBeaker 2009-05-18 16:39:51