对于那里的任何专家来说,这只是一个简单的问题。我有一个网站,允许用户通过消息进行交互,并注册您只需输入用户名和密码,验证您的年龄,并可选择添加电子邮件。我想没有任何敏感信息。是否值得使用https。它会阻止会话高举,会阻碍性能吗?
答案 0 :(得分:20)
无论何时使用用户名/密码,您都应该使用HTTPS绝对保护整个会话。如果他们的密码暴露给您的用户的潜在成本,那么您的成本相当低。研究consistently shows人们几乎在他们访问的每个系统中都使用相同的密码。
此外,除了密码泄露风险之外,请考虑您的网站是一种通信工具。被模仿的用户可能面临的风险或伤害是什么?是否以他们的身份发送恶意邮件?
这不值得冒风险。至少确保运输安全。
答案 1 :(得分:14)
我认为只要您进行某种登录处理,就应该保护用户的密码。您可以通过https或使用http摘要身份验证来执行此操作。
我的加密要点是,您的网站上有很多用户拥有的密码与他们的银行帐户或类似密码相同。即使您站点上的信息不敏感,密码也可能确实保护了重要信息。
答案 2 :(得分:4)
是的,需要SSL / TLS才能维护安全认证的会话。如果您有登录信息,则登录信息和整个会话必须受https保护。即使您拥有简单的Web应用程序,将所有流量转发到https也更容易,更安全。
问题是如果使用http,会泄露会话ID(cookie)。如果该会话已通过身份验证,则黑客可以使用该会话ID在没有用户名和密码的情况下向服务器进行身份验证。
这是OWASP前10名A3的明确要求:“破坏的身份验证和会话管理” http://www.owasp.org/images/0/0f/OWASP_T10_-_2010_rc1.pdf
答案 3 :(得分:3)
如果您传输密码和电子邮件地址,或任何其他私人或个人身份信息,至少是值得的。如果任何非HTTPS通信,则可以进行会话劫持,但这是许多网站愿意接受的风险,并且取决于您的情况。
性能问题取决于您的硬件和堆栈,但HTTPS和HTTP会有“一些”性能影响。仅仅阻止您保护密码和敏感用户信息是不够的。
答案 4 :(得分:0)
我之前也考虑过这个问题。当用户登录或更改信息时,我认为您需要安全连接。
答案 5 :(得分:-2)
对于某些人来说,密码和年龄会被视为敏感信息。你是否准备好与一些可能有不同观点的人打交道?