SSL은 실제로 대부분의 웹 사이트에 중요합니까?

11

나는 내가 구축하고있는이 사이트 (내가 만든 첫 번째 사소한 사이트)에 대해 "보안 권한을 부여하는 법"을 배우는 것에 대해 편집증을 일으켰으며 SSL을 방해하는 것을 발견했다.

여기, StackOverflow 및 n 번 사용한 후 세션 ID를 재생성하는 방법과 암호를 소금에 절인 해시하고 평문으로 저장하지 않는 방법에 대해 많은 보안 스레드를 읽었습니다. IP 주소, 사용자 에이전트를 추적하고 쿠키를 추적하여 세션이 도용 된시기를 감지하는 방법에 대해 많이 읽었습니다.

내가 이해하지 못하는 것은 웹 사이트가 일반 HTTP POST를 통해 로그인하고 비밀번호를 일반 텍스트로 유선으로 보낼 때 중요한 문제입니다.

나는 나열된 모든 다른 방법이 전반적인 노출을 줄이기 위해 필요하다는 것을 알고 있으며 어쨌든 그렇게 많은 보안이 필요하지 않은 사이트가있을 수 있지만 내가 묻는 것은 다음과 같습니다.

SSL을 방해하지 않는 것이 언제 좋습니까?

Gmail, 은행 및 LinkedIn과 같은 사이트에서 SSL을 사용해야하는 이유를 알 수 있지만 Facebook 및 reddit과 같은 사이트는 신경 쓰지 않아도됩니다 (PhellyOfFish는 비밀번호를 일반 텍스트로 저장하고 이메일로도 저장합니다) 알림으로 매주 당신에게!?!)?

SSL이 설정되어 있는지 (특히 공유 호스트로 시작한 후 시작 비용이 저렴하기 때문에) 얼마나 걱정해야합니까? 도움이된다면 내 사이트에는 특별한 개인 정보가 없습니다. 사이트가 성공하면 추가 보안에 대한 추가 비용을 진지하게 검토 할 것입니다.

https security authentication

— 수수께끼
소스

7

사용자와 사용자가 중요하다고 생각하는만큼 중요합니다. http를 통해 일반 텍스트로 암호를 보내면 패킷 스니핑에 취약 해집니다. 이제 누군가가 실제로 그 패킷을 스니핑하는 것이 다른 이야기입니다. 사용자에게 가장 안전한 환경을 제공하려면 로그인 제출에 SSL을 사용하십시오. 사용자가 더 행복하고 긍정적 인 방식으로 (예 : 물건 구매, 물건 등) 웹 사이트와 상호 작용할 가능성이 높다고 생각되면 로그인 제출에 SSL을 사용하십시오. 도용 할 가치가있는 것 (즉, 사용자 정보)이 있으면 SSL을 사용하십시오.

도둑질할만한 가치가 없다면 SSL이 보안을 크게 향상시킬 것이라고 생각하지 않거나 사용자가 유용한 기능으로 보지 않을 것이라고 생각하면 SSL을 사용하지 않는 것이 좋습니다.

비용이 많이 들지 않는 한 SSL 인증서 설치 비용은 사이트 로그인을 보호하는 것이 결코 나쁜 일이 아닙니다. 더 큰 규모의 사이트가 모범 사례를 따르지 않아도되므로 다른 사이트가하는 일에 영향을주지 마십시오. 어떤 방식 으로든 하나의 사이트가 손상되는 것에 대한 꾸준한 뉴스 기사가있는 것 같습니다.

— 존 콘데
소스

1

+1 "많은 더 큰 사이트는 모범 사례를 따를 필요가 없습니다"-나이지리아 419'ers가 도난당한 데이트 사이트 프로필에서 수익을 창출하는 방법을 알아낼 때 재미있는 헤드 라인이있을 것입니다. :)

— danlefree

"당신이 예산을 책정하지 않는 한"-그러나 나는. 나는 1 년에 1 년 선불로 지불하기 위해 한 달에 상당히 적은 비용을 지불하는 대신 저렴한 공유 호스트에서 m + m을 고려하고 있다고 생각합니다. 이런 식으로, 사이트가 비교적 빨리 비용을 지불하지 않으면 플러그를 뽑을 수 있습니다. 나는 정적 IP를 혼자 얻는 것만으로도 월 자체 비용의 거의 두 배가되고 인증서 자체의 비용은 말할 것도 없기 때문에 지금은 SSL이없는 것으로 생각하고 있습니다. 이 사이트는 포럼에 가깝고 대부분의 데이터는 공개되어 있으므로 로그인 외부에서 암호화 할 필요가 없습니다.

— AgentConundrum

@ danlefree, 그건 쉽습니다. 데이트 사이트의 개인 정보를 사용하여 사용자 이메일 및 뱅킹 사이트의 비밀번호 복구 질문에 답변하십시오. 또는 사람들이 자신의 암호를 훨씬 많이 재사용하기 때문에 암호를 캡처하십시오.

— Zoredache

@AgentConundrum Startssl은 무료로 SSL 인증서를 제공합니다. 예산이 부족하지만 고정 IP를 보유하고 있다면 그렇게 할 수 있습니다.

— Rana Prathap

@AgentConundrum 호스트가 SNI를 지원하는 한 더 이상 SSL 전용 IP가 필요하지 않습니다. 호스트가 SNI를 지원하지 않으면 새 호스트를 찾으십시오. 무료로 인증서를받을 수 있으므로 추가 비용도 없습니다.

— Doktor J

3

John의 대답에 반대되는 접근법을 취하면서 개인 식별 정보 를 처리 하는 경우 SSL을 신중하게 고려해야한다고 생각합니다 . 물리적 주소가있는 이름, 전자 메일 주소, 재무 정보 및 사용자가 합당하게 비공개로 생각할 수있는 통신 .

귀하의 사이트에서 사용자가 자신에 대한 정보를 게시 할 수있는 수단을 제공하지 않는 한, 귀하가 제공 한 개인 식별 정보는 귀하가 보유하고 사이트의 개인 정보 보호 정책이 사용자에게 달리 알리지 않는 한 철저한 신뢰하에있는 것으로 간주해야합니다.

승인되지 않은 제 3자가 방문자의 정보를 보지 못하게하고 방문자의 신뢰를 유지하기 위해 정보를 어떻게 사용하는지 사용자에게 알리십시오.

내가 알 수있는 한 Facebook조차도 이것을합니다.

<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form" onsubmit=";var d=document.documentElement;if (d.onsubmit) { return d.onsubmit(event); }else { return Event.fire(d, &quot;submit&quot;, event); }">

(Facebook.com 로그인 HTML 소스)

— Danlefree
소스

이상한. Facebook에서 어떻게 알아 채지 못했는지 모르겠습니다. 나는 HTTPFox에서 그것을보고 있었고 어떻게 든 초기 요청에서 's'를 놓쳤다. 제거하기 위해 편집하겠습니다. 사실은 여전히 많은 사이트 (reddit, hacker news, TDWTF 등)가이 사이트를 운영하고 있기 때문에 최악의 경우에는 그들보다 나을 것입니다. 예산은 저의 큰 관심사이므로 정적 IP ($ 8 / mo 호스트에서)에 대해 $ 5 / mo를 추가로 보내고 괜찮은 인증서를 구입하는 것이 좋습니다. 대지.

— AgentConundrum

@AgentConundrum-엄밀히 말하면, 암호가 소금에 절인 경우 HTTP를 통해 단방향 해싱 알고리즘을 통해 암호 실행을 전달하는 것이 좋습니다 . 그래서 사용하지 않는 사이트에서 MD5 해시 구현을 보는 것에 너무 놀라지 않을 것입니다 SSL : pajhome.org.uk/crypt/md5

— danlefree

클라이언트 측에 해시를 작성하면 어떤 도움이됩니까? 이 경우 기본적으로 해시 는 비밀번호 입니다. 암호를 캡처 할 수있는 것처럼 해시를 캡처하고 쉽게 재생할 수 있어야합니다.

— Zoredache

1

@Zoredache 그렇기 때문에 해시를 소금에 절 여야한다 . 작동 방식은 다음과 같습니다 . 서버 호출 을 포함하여 미리 채워진 토큰 과 함께 로그인 페이지를 microtime()보냅니다. 전송 된 해시는 비밀번호와 +의 조합 microtime()이며, 일단 해시를 수신하면 microtime()+ 비밀번호 확인 / 응답 쌍이 무효화 됩니다 (다시 사용할 수 없음).

— danlefree

3

2014 년 8 월 현재 Google은 공식적으로 HTTPS가 순위 신호로 사용된다고 표시 했습니다.

이것은 귀하의 웹 사이트가 완전히 정적 인 웹 사이트 일지라도 SEO에 관심이 있다면 최소한 SSL 인증서 설정을 고려해야한다는 것을 의미합니다.

물론 HTTPS는 수백 개 중 하나의 랭킹 신호에 불과하므로 SEO를 위해 할 수있는 더 중요한 일이있을 수 있습니다.

— kqw
소스

구글은 SSL 인증서를 설정하는 데 리소스가 필요하기 때문에 웹 사이트에서 요구하는 경우에만 그렇게해야한다고 발표했다. 즉, 개인 블로그에서 SSL 인증서를 설정하지 않아서 순위에 영향을 미치지 않는다고 언급했습니다.

— Rana Prathap

1

SSL / TLS를 사용하지 않으면 사이트에 로그인이없는 경우에도 사용자가 수동 모니터링에 노출 될 수 있습니다.

위협 행위자는 단순히 사용자와 나머지 인터넷 사이에 앉아 사용자가 요청한 모든 URL을보고 사용자가보고있는 사물의 패턴을 구축 할 수 있습니다. 개별 비트 정보는 실제로 별다른 의미가 없지만 많은 비트 정보를 결합하면 훨씬 더 큰 그림을 만들 수 있습니다.

이런 이유로 정적 콘텐츠 만 제공하는 내 사이트에서 HTTPS를 제공합니다.

— 지그
소스