Saya sudah cukup paranoid tentang belajar untuk "melakukan keamanan yang benar" untuk situs yang saya bangun ini (situs non-sepele pertama yang saya buat), dan saya perhatikan sesuatu yang mengganggu saya: SSL.
Saya telah membaca banyak utas keamanan di sini, di StackOverflow, dan di tempat lain yang panjang lebar tentang regenerasi id sesi setelah penggunaan, dan bagaimana kata sandi Anda perlu diasinkan, hash, dan tidak pernah disimpan dalam teks biasa. Saya sudah membaca banyak tentang cara mendeteksi kapan sesi dibajak, dengan melacak alamat IP, agen pengguna, dan dengan menggunakan cookie pelacakan.
Apa yang saya tidak mengerti adalah apa salah satu dari ini penting ketika situs web login Anda melalui HTTP POST normal dan mengirimkan kata sandi Anda melalui kawat dalam teks biasa?
Saya memahami bahwa semua metode lain yang saya daftarkan diperlukan untuk mengurangi paparan Anda secara keseluruhan, dan mungkin ada beberapa situs yang tidak membutuhkan keamanan sebesar itu, tapi saya rasa yang saya tanyakan adalah:
- Kapan boleh repot-repot dengan SSL?
Situs-situs seperti Gmail, bank Anda, dan LinkedIn, saya dapat melihat ada alasan untuk menggunakan SSL, tetapi apa yang membuatnya ok bahwa situs-situs seperti Facebook dan reddit tidak mengganggu (sih, PlentyOfFish bahkan menyimpan kata sandi Anda dalam teks biasa dan bahkan mengirim email kepada mereka untuk Anda setiap minggu sebagai pengingat!?!)?
Bagaimana saya harus khawatir dengan memastikan SSL sudah diatur (terutama karena saya akan mulai dengan host bersama, dan saya cukup murah untuk memulai)? Situs saya tidak akan menyimpan informasi pribadi yang khusus, jika itu membantu. Jika situs menjadi sukses, saya serius akan membayar ekstra untuk keamanan tambahan.
sumber
Mengambil pendekatan yang berlawanan dengan jawaban John, saya pikir Anda harus secara serius mempertimbangkan SSL jika Anda menangani setiap informasi identitas pribadi - untuk menyertakan: nama dengan alamat fisik, alamat e-mail, informasi keuangan, dan komunikasi yang pengguna cukup harapkan untuk menjadi pribadi .
Kecuali jika situs Anda menyediakan sarana bagi pengguna untuk mempublikasikan informasi tentang diri mereka sendiri, Anda harus mempertimbangkan informasi pengenal pribadi yang disediakan oleh pengguna Anda untuk dipegang oleh Anda dan Anda hanya memiliki kepercayaan diri yang ketat kecuali jika kebijakan privasi situs Anda memberi tahu pengguna Anda sebaliknya.
Cegah pihak ketiga yang tidak berwenang melihat informasi pengunjung Anda dan terus beri tahu pengguna tentang bagaimana Anda menggunakan informasi mereka untuk menjaga kepercayaan pengunjung Anda.
(Facebook.com login sumber HTML)
sumber
microtime()
panggilan dari server. Hash yang Anda kirim adalah kombinasi kata sandi Anda +microtime()
dan, setelah saya menerima hash Anda, saya membatalkan pasanganmicrotime()
+ tantangan / respons kata sandi (tidak dapat digunakan lagi).Pada Agustus 2014 Google telah secara resmi mengindikasikan bahwa HTTPS akan digunakan sebagai sinyal peringkat.
Ini berarti bahwa meskipun situs web Anda adalah situs web yang sepenuhnya statis, jika Anda peduli tentang SEO, Anda setidaknya harus mempertimbangkan untuk menyiapkan sertifikat SSL.
Tentu saja HTTPS hanyalah satu sinyal peringkat dari ratusan, jadi mungkin ada hal-hal yang lebih penting yang dapat Anda lakukan untuk SEO.
sumber
Berikut adalah sudut yang mungkin tidak Anda pertimbangkan: tidak menggunakan SSL / TLS dapat membuat pengguna Anda terpantau secara pasif bahkan jika situs Anda tidak memiliki login.
Seorang aktor ancaman mungkin hanya duduk di antara pengguna Anda dan seluruh Internet, menonton semua URL permintaan pengguna Anda dan membangun pola hal-hal yang dilihat pengguna Anda. Masing-masing bit informasi mungkin memang tidak signifikan dalam isolasi, tetapi menggabungkan banyak bit informasi dapat membuat gambaran yang jauh lebih besar.
Karena alasan inilah saya menawarkan HTTPS di situs saya sendiri, yang hanya menyediakan konten statis.
sumber