Security 我需要简单社区站点的SSL证书吗？

我正在部署一个小型社区站点。用户注册只需要用户名、电子邮件地址和密码。我甚至没有要求提供姓名，当然也没有存储任何敏感数据

我还应该投资SSL证书吗？在没有密码的情况下传输用户密码会被认为是可怕的做法吗

---

这只是一个个人项目，所以如果可以的话，我想避免额外的费用，但我忍不住觉得，如果我没有正确地保护所有东西，我将是不负责任的。

我不会为类似的事情使用SSL

想想看。。。互联网上有一百万个留言板，没有一个使用SSL

---

除非您存储信用卡号码或其他敏感的财务/个人信息，否则我认为这是不值得的。

只要您的用户不提供任何信用卡或其他个人信息，我也不会为证书付费

---

<>但是如果我是一个社交网站，我会考虑得到一个。

可能没有帮助，但是一些SSL提供商比其他的提供商便宜。另外，有些主机允许您使用共享证书，您可以仅在登录过程中使用这些证书，尽管您的域不在地址栏中，但至少会对通信进行加密，

SSL对此可能有些过分

不过，请鼓励您的用户不要使用用于存储敏感信息的密码！你可能不会储存任何重要的东西，但如果“kitty37”也是他们银行账户的钥匙，事情可能会变得糟糕

这提醒了我——大家应该看看CMU的透视图项目，该项目试图解决自签名证书难以使用的问题，一方面是“官方的”“另一方面，通过使用一致性监视服务，可以跟踪大量安全证书，并观察它们是否正在更改等，证书可能被伪造

---

他们有一个Firefox扩展，所以非常容易使用（还有一个openSSH客户端）

我建议获得SSL证书，并在用户向您的网站提交密码时要求使用https。尽管你的用户不会传输任何敏感信息，但仍然有一个重要原因：许多人访问的每个网站都使用相同的用户名和密码，如果有人在咖啡馆使用笔记本电脑，你应该尽你所能保护他们和他们的身份安全

---

如果成本是一个问题，那么一个好的折衷方案就是。默认情况下，他们的证书在大多数浏览器中都不受信任，但任何具有可验证身份的人都可以免费从他们那里获得证书。

为小型社区网站购买SSL证书将是浪费您的钱。我相信时间最好花在确保用户注册和登录页面易于访问和理解上，让用户有足够的时间和空间来查看他们是否会继续登录。如果您总是将这样的参数设置为no，那么这个示例就不会成为问题

---

如果我们正在处理一个大型网站，那么也许这将是一个好主意得到一个。您是否考虑过使用作为用户登录的一种手段？对于这个网站来说，它似乎工作得相当好，所以为什么不自己实现它呢？

只要你不介意一个人能够模拟另一个人，或者在传输过程中嗅探数据，那么你就不需要SSL

您可以尝试在没有SSL的情况下创建尽可能安全的站点。但是，如果您不确切地知道后果是什么、将暴露什么以及如何在没有SSL的情况下保护它，那么这是非常危险的。在某些情况下，甚至不可能实现真正的保护

此外，请记住，人们通常对多个帐户使用一个密码。这意味着数据库中的许多密码将与用户的银行、电子邮件、网络等相同

如果您让他人随身携带密码，您必须负责保护密码，即使您自己网站的安全性并不重要。

---

我建议花20美元买一个godaddy证书，只是为了确定。此外，请务必阅读会话安全性和安全身份验证方法。

SSl部分可能有些过火，更糟糕的是，它成为了“货物崇拜安全”的真正诱惑。在这种情况下，您可以做一些听起来像安全性，但实际上并没有增加任何内容的事情

你最好考虑一下如何确保你正在构建一个加固的站点，并保持你的安全补丁是最新的

---

哦，还有一件事：温暖的用户他们不使用安全密码，所以他们不使用他们在所有银行网站上使用的最喜欢的“joe”密码。

如果你只是想识别一个用户，为什么不允许像stackoverflow那样使用OpenID？；）

---

谢谢您的回复。我想我确信花一点钱保护人们的密码是值得的

我确实考虑过使用OpenID。可能不会是最初版本的一部分，但我可能会在以后添加对它的支持。我会质疑我的听众对OpenID概念的理解程度。我认为这是因为观众的天性。我很难让普通人鼓起热情来获得一个OpenID，仅仅是为了使用一个可能非常普通的网站