该网站允许用户注册(姓名、电子邮件和密码)。它就像一个不涉及电子商务的论坛)。
我最初的计划是拥有网站的安全部分,例如。secure.example.com 将保存注册表单和登录名。这是个好主意还是矫枉过正?
AskOverflow.Dev
该网站允许用户注册(姓名、电子邮件和密码)。它就像一个不涉及电子商务的论坛)。
我最初的计划是拥有网站的安全部分,例如。secure.example.com 将保存注册表单和登录名。这是个好主意还是矫枉过正?
在您收集信息的所有场合,通过 SSL 连接(使用适当的证书保护)进行信息交换始终被认为是最佳做法。
如果您在主域的子域或主域的 SSL 版本上执行此操作,则对整体交易没有影响,只是一些重定向或不重定向。它的工作方式基本上取决于您的个人喜好以及您希望用户如何操作您的应用程序。
您不需要子域,您可以重定向到“ https://example.com ”进行注册/登录。您可以毫无问题地为 HTTP 和 HTTPS 使用相同的域。
是的,如果您处理密码,则应该使用 SSL。您还需要为您的域提供有效的证书。
SSL 证书对于加密服务器和客户端之间的通信非常重要,以防止他们可以读取或干扰通信的中间人攻击。它还有助于在最终用户和他们正在使用的网站之间建立信任,许多用户现在熟悉增强型 SSL 证书,这些证书会将地址栏(或其中的一部分)变成绿色。这些增强型 SSL 证书通常需要证书颁发机构 (CA) 进行额外检查,然后才能授予您证书。然而,这些非常昂贵,我最近获得了一个加密良好的 Geotrust SSL 证书,仅需 67 英镑(撰写本文时约为 100 美元)。
不要忘记用户通常会在多个站点上重复使用他们的电子邮件地址和密码,尽管您的网站可能不包含任何机密信息但没有 SSL 证书,但如果您不使用 SSL 加密,您的用户将面临风险,因为攻击者可能会这样做破坏 JoeBlogs 并登录到他们的 gmail/paypal/whatever。如果您确实没有钱购买权威机构颁发的 SSL 证书,那么您可以自行签署证书,这会向您的用户发出警告,但至少如果他们同意通信将被加密!
关于仅加密网站某些部分的问题,您必须小心......我最近确保我的一个网站专用于 SSL,包括通过 SSL 传输 cookie。否则,攻击者在使用站点的 HTTP 部分时从技术上讲有可能接管用户会话。
SSL 很便宜。
诉讼可能会使您损失数百万美元。
有一个简单的选择。
只需确保整个站点的安全,不要为 secure.xxx 的东西烦恼,从技术角度来看,这并没有太多意义,除非它将由不同的服务器明确处理。
说真的,您可以从各种 rapidssl 经销商处以大约 12 美元的价格购买合适的 SSL 证书。您不仅要保护用户名/登录详细信息,还要保护存储在 cookie 中的任何 HTTP 会话信息,因为 cookie 交易也将经过 SSL 加密。