私が構築しているこのサイト(私が作った最初の重要なサイト)の「セキュリティを正しく行う」ことを学ぶことについては非常に妄想的で、SSLが気になります。
ここで、StackOverflowなど、n回使用した後のセッションIDの再生成、パスワードをソルト、ハッシュ、プレーンテキストに保存しない方法について詳しく説明しているセキュリティスレッドをたくさん読みました。 IPアドレス、ユーザーエージェントを追跡する、追跡Cookieを使用することにより、セッションがハイジャックされたことを検出する方法について多くのことを読みました。
私が理解していないのは、Webサイトが通常のHTTP POSTを介してログインし、パスワードをプレーンテキストで送信するときに、これが重要なことです。
私がリストした他のすべての方法は、全体的な露出を減らすために必要であることを理解しています。とにかくそれほど多くのセキュリティを必要としないサイトもあるかもしれませんが、私が尋ねていることは推測します:
Gmail、銀行、LinkedInなどのサイトでは、SSLを使用する理由があることがわかりますが、Facebookやredditのようなサイトが気にならないのは大丈夫なことですリマインダーとして毎週あなたに!?!)?
SSLがセットアップされていることを確認することにどのように気を配る必要がありますか(特に、共有ホストで開始するので、開始するのがかなり安いので)。私のサイトは、それが役立つのであれば、特に個人情報を保持しません。サイトが成功した場合、追加されたセキュリティの追加料金を支払うことに真剣に取り組みます。
あなたとあなたのユーザーがそれが重要であると考えるのと同じくらい重要です。 http経由でプレーンテキストとしてパスワードを送信すると、パケットスニッフィングに対して脆弱になります。誰かが実際にそれらのパケットをスニッフィングしようとするかどうかはまったく別の話です。ユーザーに可能な限り安全なエクスペリエンスを提供したい場合は、ログインの送信にSSLを使用します。ユーザーがより幸せになり、ポジティブな方法でウェブサイトとやり取りする可能性が高いと思われる場合(つまり、買い物や買い物など)、ログインの送信にSSLを使用します。盗む価値のあるもの(ユーザー情報など)がある場合は、SSLを使用します。
盗む価値がない場合、SSLによってセキュリティが大幅に強化されるとは思わないか、ユーザーがSSLを有用な機能と見なさない場合は、SSLを使用しないことを検討することをお勧めします。
SSL証明書のインストールにかかる費用については、予算が限られている場合を除き、サイトのログインを保護することは決して悪いことではありません。多くの大規模サイトはベストプラクティスに従う必要がないので、他のサイトがあなたに影響を与えないようにしてください。
ジョンの答えとは逆のアプローチを取っているため、any個人を特定できる情報を扱う場合は、SSLを真剣に検討する必要があると思います-物理アドレス、電子メールアドレス、財務情報、通信を含む名前ユーザーは非公開であることを合理的に期待します。
サイトがユーザーに自分自身に関する情報を公開する手段を提供しない限り、ユーザーから提供された個人を特定できる情報は自分が保有するものとみなし、サイトのプライバシーポリシーがユーザーに別途通知しない限り、厳格な信頼の下でのみ考慮する必要があります。
許可されていない第三者が訪問者の情報を見ることを防ぎ、訪問者の信頼を維持するために情報をどのように使用するかをユーザーに通知します。
私が知る限り、Facebookでさえこれを行います。
<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form" onsubmit=";var d=document.documentElement;if (d.onsubmit) { return d.onsubmit(event); }else { return Event.fire(d, "submit", event); }">
(Facebook.comログインHTMLソース)
2014年8月現在 Googleが公式に示した HTTPSはランキングのシグナルとして使用されます。
これは、あなたのウェブサイトが完全に静的なウェブサイトであっても、SEOに関心があるなら、少なくともSSL証明書のセットアップを検討する必要があることを意味します。
もちろん、HTTPSは数百のランキング信号の1つにすぎないため、SEOに対してできることはおそらくもっと重要です。
考えていないかもしれない角度があります。SSL/ TLSを使用しないと、サイトにログインがない場合でも、ユーザーを受動的な監視にさらす可能性があります。
攻撃者は、ユーザーとインターネットの他の部分との間に座って、ユーザーが要求するすべてのURLを監視し、ユーザーが表示しているもののパターンを構築するだけです。情報の個々のビットは、単独では重要ではないかもしれませんが、多くの小さな情報のビットを組み合わせることで、はるかに大きな画像を作成できます。
このため、静的コンテンツのみを提供する自分のサイトでHTTPSを提供しています。