Web applications 如果网站不太可能具有SSL证书，是否可以保护应用程序？

我们生活在一个WordPress博客、Joomla网站和osCommerce商店的世界里，用户通过在互联网上以明文发送用户名和密码，定期登录到他们的“安全”管理区域。我们都知道这是不好的，但似乎从来没有人升级他们的站点以使用SSL/TLS，开发人员非常乐意开发能够在良好的旧http上工作的应用程序

根据应用程序的不同，一定有一点人们认为不值得实施任何更大的安全措施来保护他们的资产？如果选择是：

一点安全都没有

• +)谁在乎呢
• -)见证垃圾邮件帖子和

默默无闻的安全

• +)只有某些人知道去哪个URL
• -)这只是时间问题

仅使用用户名进行身份验证

• +)如果用户名不清楚且构造良好，则可以
• -)暴力攻击太有效了

使用用户名和密码进行身份验证

• +)比用户名稍微好一点
• -)比用户名稍微好一点

使用用户名和密码的散列进行身份验证

• +)防止数据库黑客窃取密码列表
• -)如果有人可以入侵你的数据库，你不应该担心纯文本密码

使用JavaScript加密进行身份验证（请参阅）

• +)防止通过纯文本发送用户名和密码
一个中间人可以拦截JavaScript并窃取你的密码

通过SSL执行上述任一操作

“LI>”防止中间人攻击
• -)如果一个黑客有这样的决心，他们会找到另一种方法把你打倒

如果前5个漏洞对你的普通维基百科读者来说很容易解决，那么第6个漏洞只需要多一点知识，而黑客忽略了第7个漏洞就可以转移到其他漏洞上，那么这些漏洞实际上都不是保证绝对安心的令人满意的方法

问题:

您的WordPress博客或phpBB论坛的平均安全级别是多少

为什么用户名+密码变得如此普遍

web应用程序开发人员在知道SSL证书可能并不总是可用的情况下，应该如何创建未来的应用程序

如果要通过http使用“安全”区域，那么设计一个站点真的有意义吗

我总是用带盐的散列密码。还可以实施某种暴力检查来阻止尝试超过X次失败登录的IP，等等

这是一个大家都知道的系统。给某人一个32个字符的guid，如果他们能记住的话，效果可能会更好。问题是人们没有使用好的密码，在银行和电子邮件中使用的密码与在facebook上使用的密码相同。一种可能的情况是：你去joe blow的网站，因为他提供免费铃声，你用你在任何地方使用的相同用户/通行证创建一个帐户。Joe Blow不会加密您的密码，而是使用它尝试使用相同的用户名/密码组合访问各种银行网站。如果您在网站上输入了电子邮件，并使用了与电子邮件相同的密码，那么他可以访问该密码，并在您收到他们的电子邮件时了解您使用的银行，让您知道您的对账单可用。最薄弱的环节几乎总是用户不够小心

除了IP检查、暴力保护等之外，我还采取了一些额外的预防措施，以确保用户代理在会话期间保持不变。这只是一个额外的检查，有助于防止某人的蛮力强制会话ID……他们还必须完全欺骗用户代理，这将需要中间人或DB的现场视图的人…这通常不值得担心。

我还没有有一个管理区被黑客，但我看到了尝试。每个人都知道，他们可以在wordpress网站中访问wp admin/inside。如果没有身份验证，世界上就不会有一个博客一夜之间没有1000个垃圾邮件发送者的博客。它可能无法将黑客精英和中间人拒之门外……但大多数博客都不值得为这些人付出努力。但如果没有任何证书，任何可以编写机器人的人都可以访问每个人的博客

---

这既离题又引起争论。这是一个问答网站，不是辩论网站。StackOverflow本身对只允许答案在数学意义上明确无误的问题非常严格。即使是程序员也会对一个开放式的问题皱眉，这是一个辩论的邀请。简言之，没有一个stackexchange站点适合这个问题。@Omnifarious-我可以编辑这个问题，使其不那么引起争议，如果这样看的话，因为我对问题3感兴趣，因为我自己的目的是“在没有SSL的情况下，有哪些技术可以帮助保护应用程序？”另一方面，你能推荐一个鼓励辩论的网站吗？我很想看看评论？