작은 커뮤니티 사이트를 구축하기 위해 노력하고 있습니다. 사용자 등록에는 사용자 이름, 전자 메일 주소 및 암호 만 있으면됩니다. 나는 심지어 이름을 묻는 것이 아니며 민감한 데이터를 저장하지도 않는다.간단한 커뮤니티 사이트에 SSL 인증서가 필요합니까?
SSL 인증서에 계속 투자해야합니까? 사용자 비밀번호없이 사용자 비밀번호를 전송하는 것은 끔찍한 관행으로 간주됩니까?
이것은 개인 프로젝트이므로 가능한 경우 추가 비용을 피하고 싶습니다.하지만 모든 것을 제대로 확보하지 않으면 무책임한 느낌이 들지는 않을 것 같습니다.
사용자가 웹 사이트에 암호를 제출할 때마다 SSL 인증서를 받고 https가 필요하다는 전자 메시지를 보냅니다. 사용자가 민감한 정보를 전송하지는 않지만 여전히 중요한 이유 중 하나가 있습니다. 많은 사람들이 방문하는 모든 사이트에 동일한 사용자 이름과 비밀번호를 사용하며 누군가가 무선으로 커피 숍에서 노트북을 사용하는 경우 당신과 그들의 신원을 안전하게 지키기 위해 당신의 힘으로 모든 일을하십시오.
비용이 문제가되면 CACert입니다. 대부분의 브라우저에서 인증서는 기본적으로 신뢰할 수 없지만 확인 가능한 신원을 가진 사람은 인증서를 무료로 얻을 수 있습니다.
SSL과 관련해서 그런 고민을하지 않아도됩니다.
생각해보십시오 ... 인터넷에는 백만 개의 메시지 보드가 있으며 그 중 누구도 SSL을 사용하지 않습니다.
신용 카드 번호 나 기타 중요한 재무 정보/개인 정보가 저장되어 있지 않으면 비용이 들지 않을 것이라고 생각합니다.
사용자가 신용 카드 또는 기타 개인 정보를 제공하지 않는 한 인증서 비용을 지불하지 않아도됩니다.
그러나 소셜 네트워킹 사이트 인 경우, 하나를 얻는 방법을 고려해 볼 수 있습니다.
아마도 도움이되지 않지만 일부 SSL 제공 업체는 다른 회사보다 저렴합니다. www.instantssl.com은 비교적 저렴합니다. 또한 일부 호스트는 공유 인증서를 사용하도록 허용하지만 도메인이 주소 표시 줄에 없더라도 최소한 로그온 프로세스에는 사용할 수 있습니다.
SSL이 아마도 과도 함입니다. .
사용자가 민감한 정보를 저장하는 데 사용하는 암호를 사용하지 않도록하십시오! 중요한 항목은 저장하지 않을 수도 있지만 "kitty37"가 은행 계좌의 열쇠이기도하면 상황이 안 좋을 수 있습니다.
이렇게하면 CMU에서 Perspectives 프로젝트를 확인해야합니다. 한편으로는 자체 서명 된 인증서의 사용이 너무 어렵고 많은 수의 보안 인증서를 추적하는 컨센서스 모니터링 서비스를 사용하여 잠재적으로 위조 된 "공식적인"인증서의 문제가 발생합니다. 그들이 변경하는 경우 등 난 R을 거라고
가 사용하기 죽은 쉽게 그래서 그들은, 파이어 폭스 확장자가 (또한 오픈 SSH 클라이언트가있다). http://www.cs.cmu.edu/~perspectives/
소규모 커뮤니티 웹 사이트의 SSL 인증서에 투자하는 것은 비용 낭비입니다. 나는 사용자 등록 및 로그인 페이지가 액세스하고 이해하기 쉽도록 보장하는 데 더 많은 시간을 할애하여 사용자가 충분한 시간과 공간을 확보하여 로그인 상태를 유지할 수있게 할 것이라고 생각한다.이 매개 변수를 항상 no로 설정하면이 예제는 문제가되지 않습니다.
우리가 큰 웹 사이트를 다루고 있다면, 아마도 그것을 얻는 것이 좋습니다. 로그인하는 사용자를 위해 OpenID을 사용하는 것을 고려 했습니까? 이 웹 사이트에서는 합리적으로 잘 작동하는 것처럼 보이므로 직접 구현하지 않으시겠습니까?
한 사람이 다른 사람을 가장하거나 데이터 경로를 스니핑 할 수 있다는 점을 염두에 두지 않으려면 SSL이 필요하지 않습니다.
SSL을 사용하지 않고 가능한 한 안전한 사이트를 만들 수 있습니다. 그러나 이것이 파급 효과가 무엇인지, 노출 될 내용과 SSL없이 보호하는 방법을 정확히 모르는 경우 매우 위험합니다. 어떤 경우에는 실제 보호가 불가능할 수도 있습니다.
또한 여러 계정에 하나의 암호를 사용하는 경우가 많습니다. 즉, 데이터베이스에있는 많은 암호가 사용자 은행, 전자 메일, 네트워크 등과 동일하게됩니다.
사람들에게 암호를 저장할 수있게하려면 암호를 저장해 두어야 할 책임이 있습니다. 자신의 사이트의 보안은 중요하지 않습니다.
나는 확실히 godaddy cert를 위해 20 달러를 쓰는 것이 좋습니다. 또한 세션 보안 및 보안 인증 방법을 읽어보십시오.
SSl 부분은 아마도 과잉 공격 일 것이고, 악화되면 보안 혐의가 있지만 실제로 아무 것도 추가하지 않는 "숭배 보안화물"에 대한 진정한 유혹이됩니다.
강화 된 사이트를 구축하고 보안 패치를 최신 상태로 유지하는 방법을 생각해 보는 것이 좋습니다.
아, 한 가지 : 따뜻한 사용자는 보안 암호를 사용하지 않으므로 모든 은행 사이트에서 사용하는 즐겨 사용하는 "joe"암호를 사용하지 않습니다.
사용자를 식별하려는 경우 stackoverflow처럼 OpenID를 허용하지 않는 이유는 무엇입니까? ;) http://openid.net/
답장을 보내 주셔서 감사합니다. 나는 사람들의 암호를 보호하기 위해 약간의 돈을 지출하는 것이 그만한 가치가 있다고 확신했다.
OpenID 사용에 대해 생각해 보았습니다. 아마 초기 릴리즈에 포함되지 않을 것이지만 나중에 지원을 추가 할 수 있습니다. 잠재 고객이 OpenID의 개념을 얼마나 잘 이해할 수 있을지 질문합니다. 관객의 성격 때문에 잘 작동한다고 생각합니다. 나는 열심히 일반 대중에게 OpenID를 얻기 위해 열정을 불러 일으키기 위해 힘든 시간을 보냈다. 아마도 매우 겸손한 사이트가 될 것이다.