Fatal编程技术网
  • ssl/
  • 我为什么要使用ssl?

我为什么要使用ssl?

ssl https

我为什么要使用ssl?,ssl,https,Ssl,Https,我正在运行一个交友网站,目前不使用SSL 我注意到像facebook和twitter这样的主要网站不使用https登录,而只是使用普通的旧http,https登录我的网站真的有什么好处吗?或者它只用于cc交易等等 提前谢谢 SSL仅在浏览器和服务器之间传输敏感数据时使用。像facebook和twitter这样的主要网站可以使用http(只要数据不敏感)。大多数网站的登录页面都使用SSL。支付网关也使用SSL通过网络安全地传输支付信息 顺便说一句,http并不是“普通的旧”的,https也不是新的

我正在运行一个交友网站,目前不使用SSL

我注意到像facebook和twitter这样的主要网站不使用https登录,而只是使用普通的旧http,https登录我的网站真的有什么好处吗?或者它只用于cc交易等等

提前谢谢

SSL仅在浏览器和服务器之间传输敏感数据时使用。像facebook和twitter这样的主要网站可以使用http(只要数据不敏感)。大多数网站的登录页面都使用SSL。支付网关也使用SSL通过网络安全地传输支付信息

顺便说一句,http并不是“普通的旧”的,https也不是新的趋势:)

如果您的用户提供任何敏感数据,ssl可以防止它被第三方截获。如果您不使用SSL,您应该假设某个第三方可以看到您的每个用户在您的网站上所做的一切。如果您对他们看到这些信息感到满意,那么请使用简单的http,但如果您不喜欢这种想法,请使用https

SSL的另一个好处是它允许使用严格的传输安全性,这不仅在所有站点活动上强制HTTPS,而且还可以防止中间人欺骗您的站点并使用户认为他们正在访问您的站点。此处的详细信息:

SSL加密浏览器和服务器之间的通信量。所以,实际上,任何你想要安全的东西都需要ssl。谷歌搜索甚至在这样做,这样人们就不会被截获他们的搜索词

这正是你想要的安全的情况,如果你的网站的某些部分不安全,就会把你想要的客户拒之门外。我认为交友网站有很多个人统计信息,有些人可能想要安全的。。。只有我的2美分。

我在一家大型ISP工作,我迷恋你的一位在线会员。通过嗅探你的信息包,我可以发现她在何时何地会见另一名成员,重写信息包以更改位置,使其他人不会出现,然后我采取行动

您可以决定这是否为用户所接受。

Https对保护凭据(用户/密码)很有用,但它会增加网络负载,并需要更多CPU资源(加密)。因此,通常仅用于身份验证。 Https,带有服务器证书,可再次保护钓鱼

银行使用端到端应用程序实际上,facebook使用https登录:

<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form">
twitter也是如此:

<form method="post" id="signin" action="https://twitter.com/sessions">
您会注意到,对于显示登录表单的页面,他们没有使用https。那是因为没有必要

但是,如果可以的话,最好使用ssl登录本身,因为很多用户对所有站点使用相同的密码

我希望看到更多网站采用的一种解决方案是使用OpenID/OAuth登录,而不需要用户名/密码。

Facebook和Twitter确实使用https登录。就像所有严肃的网站一样。主要网站使用http来获取敏感的登录信息有什么好处?首先,他们没有。他们使用https。一旦您登录,他们会通过http发送非敏感数据,但请相信我,当您登录facebook或twitter时,您不会以明文形式向您发送密码。这将允许你和他们之间的任何人看到你的密码。如果是这样的话,你不认为我们会听说吗?此外,快速查看他们的源代码可以发现登录信息是加密发送的。我不认为这里所说的有任何错误。否决票的理由?例如,Facebook和Twitter可以在大部分通信中使用HTTP(至少是用户公共资料中的任何数据),但不能像他说的那样登录。@klausbyskov:如果你看,他从来没有说过对敏感的登录信息使用HTTP是可以的。我为我的错误感到抱歉。我得重新措辞我的句子。主要站点可以使用http。我的下一句话是“大多数网站的登录页面都使用SSL”。同样的事情也适用于Facebook和Twitter。@MarkPeters和@klausbyskov:谢谢:)不必是ISP员工。更准确地说,你可能是她的隔壁邻居,闯入了她的无线路由器,正在通过你的计算机重定向她的网站请求。或者你是她的隔壁邻居,只是看看你的frikken窗口。这个例子有点夸张,我认为对于一个交友网站来说,对登录过程进行加密就足够了。进一步的风险更可能是社交黑客,而不是技术黑客。@Jordan和@Wade:这两种情况都是有效的,但探索了不同的方面@乔丹:我说“你决定……”是有原因的,但我认为这是责任的问题,而不是可能性的问题。外面有很多令人毛骨悚然的人。你必须给予他们更多的“尊重”。感谢你指出这一点,我有点惊讶地发现,网络上的普遍共识是fb和twitter不使用ssl,仅仅是因为登录表单不是ssl……实际上,他们应该在显示登录表单的页面上使用ssl。否则,中间的人可以重写页面以将连接请求发送到他的站点。然后他会将你重定向回facebook.com/twitter.com,然后他会知道你的密码,而你永远也不会知道。他们不知道的原因一定有一些?他们不知道的原因有两个——他们的登录页面可以从网站的每个部分获得,而不仅仅是一个登录页面。他们必须使每个页面都只能通过https访问。此外,这对他们已经超负荷的服务器来说是一个进一步的负担。看起来Facebook已经改用了全HTTPS版本。这几乎不会增加CPU使用或网络负载。当您启用SSL进行身份验证时,您将支付大部分CPU负载费用。