我有一个当前没有 SSL 的网站(由于成本原因)。它有一个登录表单,这就是我认为我需要 SSL 的原因。但是,我实际上不存储任何密码,只存储用户名;我的登录表单获取 POST 的用户名/密码,并通过 cURL 将其发送到 https 安全登录表单,然后返回一个是或否,可以这么说,给我的服务器。
鉴于此,SSL 证书是绝对必要的,还是有更低成本的替代方案来保护我的表格?
问问题
131 次
2 回答
0
如果不使用 TLS,用户名和密码就会暴露给任何监听流量的人。
这是一个问题,因为即使您的网站是“低价值的”,攻击者是否能够窃取其他人的凭据也没关系,人们会重复使用密码。
因此,如果不保护您的网站,您就会使您的用户面临不必要的风险。攻击者可以学习用户名和密码,并尝试将这些凭据重新用于他们的{电子邮件、银行、工作等}帐户。
正如其他人所指出的,SSL/TLS 保护的是动态数据,而不是静态数据。您没有任何敏感的存储数据这一事实与是否保护您的流量的决定无关。
正如 Elon 指出的那样,您可以获得低保证的免费 TLS 证书,这总比没有好。
记住至少要通过 HTTPS 提供整个登录页面,否则根本没有必要这样做。
于 2013-09-03T18:34:28.560 回答
0
最好添加 SSL 支持。
您可以从这里免费获得 SSL 证书https://www.startssl.com/(它是受信任的证书,因此用户不会看到警告消息,因为他会看到自己生成的证书)。
于 2013-09-03T15:39:10.867 回答