小さなコミュニティ サイトの展開に取り組んでいます。ユーザー登録に必要なのは、ユーザー名、メールアドレス、およびパスワードだけです。私は名前を尋ねることさえしませんし、機密データを保存することもありません。
それでも SSL 証明書に投資する必要がありますか? ユーザーのパスワードをパスワードなしで送信することは、ひどい行為と見なされますか?
あくまでも個人的な企画ですので、できれば余計な出費は避けたいところですが、きちんと確保しないと無責任に感じてしまいます。
1522 次
10 に答える
6
SSL 証明書を取得し、ユーザーが Web サイトにパスワードを送信するたびに https を要求することをお勧めします。ユーザーが機密情報を送信することはありませんが、これには 1 つの大きな理由があります。多くの人が、訪問するすべてのサイトで同じユーザー名とパスワードを使用しています。彼らと彼らの身元を安全に保つために、できる限りのことをしてください。
コストが問題になる場合、適切な妥協点はCACertです。彼らの証明書はデフォルトではほとんどのブラウザーで (まだ) 信頼されていませんが、検証可能な ID を持っている人なら誰でも無料で証明書を取得できます。
于 2008-11-12T02:13:37.207 に答える
4
ある人が別の人になりすましたり、途中でデータを盗聴したりすることを気にしない限り、SSL は必要ありません。
SSL を使用せずに、できるだけ安全なサイトを作成してみてください。ただし、影響が何であるか、何が公開されるか、SSL なしでそれを保護する方法を正確に知らない場合、これは非常に危険です。場合によっては、実際の保護が不可能になることさえあります。
また、多くの場合、1 つのパスワードを複数のアカウントに使用することも覚えておいてください。これは、データベース内のパスワードの多くが、ユーザーの銀行、電子メール、ネットワークなどと同じであることを意味します.
他の人にパスワードを保存してもらう場合は、自分のサイトのセキュリティが重要でなくても、責任を持ってパスワードを保護する必要があります。
念のため、godaddy 証明書に 20 ドルを費やすことをお勧めします。また、セッションのセキュリティと安全な認証方法についてよく読んでください。
于 2008-11-12T02:37:21.260 に答える
2
返信ありがとうございます。人々のパスワードを保護するために少しのお金を使う価値があると確信したと思います。
私はOpenIDの使用について考えました。おそらく最初のリリースには含まれませんが、後でサポートを追加する可能性があります。私は、聴衆が OpenID の概念をどれだけ理解しているか疑問に思います。観客の性質上、SOにはうまく機能すると思います。おそらく非常に質素なサイトになるであろうサイトを使用するためだけに、OpenID を取得する熱意を呼び起こすよう一般の人々に求めるのは、私には難しいことです。
于 2008-11-12T18:16:12.957 に答える
1
そのようなもののためにSSLを気にしません。
考えてみてください... インターネットには 100 万の掲示板があり、どれも SSL を使用していません。
クレジット カード番号やその他の機密性の高い財務情報や個人情報を保存している場合を除き、コストに見合う価値はないと思います。
于 2008-11-12T01:46:47.853 に答える
0
SSL の部分はおそらくやり過ぎであり、さらに悪いことに、「カーゴ カルト セキュリティ」への真の誘惑になります。
強化されたサイトを構築し、セキュリティ パッチを最新の状態に維持する方法について考えたほうがよいでしょう。
ああ、そして 1 つ: 暖かいユーザーは安全なパスワードを使用していないため、すべての銀行サイトで使用しているお気に入りの「joe」パスワードを使用していません。
于 2008-11-12T03:10:52.690 に答える
0
ユーザーがクレジット カードやその他の個人情報を提供しない限り、私はわざわざ証明書にお金を払うこともありません。
しかし、それがソーシャル ネットワーキング サイトである場合は、1 つ取得することを検討します。
于 2008-11-12T01:51:54.317 に答える
0
ユーザーを識別したいだけなら、stackoverflow のように OpenID を許可してみませんか? ;) http://openid.net/
于 2008-11-12T17:14:34.517 に答える
0
役に立たないかもしれませんが、一部の SSL プロバイダーは他のプロバイダーよりも安価です。たとえば、www.instantssl.com は比較的安価です。また、一部のホストでは共有証明書を使用できます。これらはログオン プロセスにのみ使用できますが、ドメインはアドレス バーに表示されず、少なくともトラフィックは暗号化されます。
于 2008-11-12T02:06:42.727 に答える
0
SSLはおそらくこれにはやり過ぎです。
ただし、機密情報を保存するために使用するパスワードを使用しないようにユーザーに勧めてください。大切なものを保管していないかもしれませんが、「kitty37」が銀行口座の鍵でもあると、事態は悪化する可能性があります..
これは私に思い出させます-人々はCMUのPerspectivesプロジェクトをチェックアウトする必要があります.CMUは、自己署名証明書を使用するのが難しすぎるという問題と、「公式」証明書が偽造される可能性があるという問題に対処しようとしています。多数のセキュリティ証明書を追跡し、それらが変更されているかどうかを監視するコンセンサス監視サービスを使用するなど。
それらには Firefox 拡張機能があるため、非常に使いやすいです (openSSH クライアントもあります)。 http://www.cs.cmu.edu/~perspectives/
于 2008-11-12T02:10:03.377 に答える
0
小さなコミュニティ Web サイトの SSL 証明書に投資するのは、お金の無駄です。ユーザー登録ページとログイン ページがアクセスしやすく、理解しやすく、ユーザーがログイン状態を維持できるかどうかを確認するための十分な時間とスペースを確保することに時間を費やす方がよいと思います。このようなパラメーターを常にいいえ、この例は問題になりません。
大規模な Web サイトを扱っている場合は、1 つ取得することをお勧めします。ユーザーがログインするための手段としてOpenIDを使用することを検討しましたか? この Web サイトではかなりうまく機能しているように見えるので、独自に実装してみませんか?
于 2008-11-12T02:28:03.463 に答える