我正在运行一个约会网站,目前还没有使用SSL。
我注意到像facebook和twitter这样的主要网站没有使用https进行登录,只是使用普通的旧http,https-ing我的网站真的有什么优势,或者它只适用于cc交易吗?
提前谢谢。答案 0 :(得分:5)
实际上,facebook 确实使用https登录:
<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form">
<form method="post" id="signin" action="https://twitter.com/sessions">
您会注意到他们没有对显示登录表单的页面使用https。那是因为没有必要。
但是,如果可以的话,最好使用ssl登录本身,如果只是因为有这么多用户为所有网站使用相同的密码。
我希望看到更多网站使用的一种解决方案是使用OpenID / OAuth进行登录,而不是需要用户名/密码。
答案 1 :(得分:4)
SSL加密浏览器和服务器之间的流量。所以,你想要保护的任何东西都需要坚定不移。谷歌搜索甚至这样做,所以人们不能截获他们的搜索词。
只是您想要安全的情况,如果您的网站的某些部分不安全,将会让客户远离。我认为约会网站有很多个人人口统计信息,有些人可能想要安全......只需2美分。
答案 2 :(得分:2)
SSL仅在浏览器和服务器之间传输敏感数据时使用。对于像facebook和twitter这样的主要网站来说,使用http是很好的(只要数据不敏感)。大多数网站都使用SSL作为登录页面。支付网关还使用SSL通过电汇安全地转移支付信息。
顺便说一句,http不是“普通老”,https也不是新趋势:)
答案 3 :(得分:1)
如果您的用户提供任何敏感数据,则ssl会阻止其被第三方拦截。如果您不使用SSL,您应该假设某些第三方可以看到您的每个用户在您的网站上所做的一切。如果您对他们看到此信息感到满意,那么请保持简单的http,但如果您不喜欢这种想法,请转到https。
ssl的另一个好处是它允许使用严格传输安全性,它不仅强制https对所有站点活动,而且还防止中间人欺骗您的站点给用户并让他们认为他们正在访问你的网站。详情请见http://en.wikipedia.org/wiki/Strict_Transport_Security
答案 4 :(得分:1)
我在一家主要的ISP工作,并迷恋于您的一位在线会员。通过嗅探你的数据包,我可以找出她遇到另一个成员的时间和地点,重写数据包以改变位置,以便其他人不会出现,然后移动。
您决定这是否为您的用户所接受。
答案 5 :(得分:-1)
Https对保护凭证(用户/密码)很有用,但它会增加网络负载并需要更多的CPU资源(加密)。因此,通常仅用于认证。 Https,服务器证书再次保护网络钓鱼。
Banks使用端到端应用程序