我有一个目前没有SSL的网站(由于成本原因)。它有一个登录表单,这就是为什么我认为我需要SSL。但是,我实际上并不存储任何密码,只存储用户名;我的登录表单获取POSTed用户名/密码并通过cURL将其发送到https安全登录表单,然后返回yes或no,可以说是我的服务器。
鉴于此,SSL证书是否绝对必要,或者是否有更低成本的替代方案来保护我的表单?
答案 0 :(得分:0)
最好添加SSL支持。
您可以从https://www.startssl.com/免费获得SSL证书(它是受信任的证书,因此用户不会看到警告消息,因为他会看到自行生成的证书)。
答案 1 :(得分:0)
在不使用TLS的情况下,用户和密码会向收听流量的任何人公开。
这是一个问题,因为即使您的网站“价值低”,攻击者是否能够窃取其他人的凭据并不重要,人们重复使用密码。
因此,如果不保护您的网站,您就会面临不必要的风险。攻击者可以学习用户名和密码,并尝试将这些凭据重新用于{电子邮件,银行,工作等}帐户。
正如其他人所指出的那样,SSL / TLS保护运动中的数据,而不保护静止的数据。您没有任何敏感存储数据这一事实与是否保护您的流量无关。
正如埃隆指出的那样,你可以获得低保免TLS证书,这些证书明显好于没有。
请记住至少通过HTTPS提供整个登录页面,或者完全没有意义。