Senza i certificati SSL?

Question

Sto lavorando a un piccolo sito Web per una chiesa locale. Il sito deve consentire agli amministratori di modificare i contenuti e pubblicare nuovi eventi/aggiornamenti. Le uniche informazioni "sicure" gestite dal sito saranno le informazioni di accesso degli amministratori e una directory della chiesa con numeri di telefono e indirizzi.

Come sarei a rischio se dovessi andare senza SSL e solo gli utenti accedono tramite HTTP diretto? Normalmente non lo considererei nemmeno, ma è una piccola chiesa e hanno bisogno di risparmiare denaro ovunque sia possibile.

Answer 1

Bene, se non si utilizza SSL, si sarà sempre più a rischio per qualcuno che cerca di annusare le password. Probabilmente hai solo bisogno di valutare il fattore di rischio del tuo sito.

Ricorda inoltre che anche l'SSL non garantisce che i tuoi dati siano al sicuro. È davvero tutto nella modalità di codifica per assicurarti di fornire la protezione extra al tuo sito.

Suggerirei di utilizzare un algoritmo di crittografia password unidirezionale e convalidarlo in questo modo.

Inoltre, è possibile ottenere certificati SSL davvero economici, ho già utilizzato Geotrust e ottenuto una certificazione per 250,00. Sono sicuro che ci sono quelli là fuori che sono più economici.

Answer 2

HTTP normale è vulnerabile allo sniffing. Se non desideri acquistare certificati SSL, puoi utilizzare certificati autofirmati e chiedere ai tuoi clienti di fidarsi di quel certificato per eludere l'avviso mostrato dal browser (poiché gli utenti autenticati sono solo alcuni amministratori conosciuti, questo approccio rende perfetti senso).

Answer 3

Nello scenario che descrivi gli utenti regolari verrebbero esposti al dirottamento di sessione e tutte le loro informazioni verrebbero trasferite "in chiaro". A meno che non si utilizzi una CA attendibile, gli amministratori potrebbero essere esposti a un attacco Man-in-the-middle.

Invece di un certificato autofirmato, è possibile prendere in considerazione l'utilizzo di un certificato da CAcert e l'installazione dei propri certificati di root nel browser dell'amministratore.

Answer 4

Poiché solo i tuoi amministratori utilizzeranno la sessione protetta, utilizzare solo un certificato autofirmato. Non è la migliore esperienza utente, ma è meglio mantenere tali informazioni al sicuro.

Answer 5

Realisticamente, è molto più probabile che uno dei computer utilizzati per accedere al sito Web venga compromesso da un keylogger di quanto verrà annusato la connessione HTTP.

Answer 6

Utilizzare HTTPS con un certificato gratuito. StartCom è gratuito e incluso nei browser Firefox; poiché solo i tuoi amministratori accedono, possono facilmente importare la CA se desiderano utilizzare IE.

Non lesinare sulla sicurezza. Aneddoticamente, ho visto siti web che suonano simili ai tuoi deturpati solo per i calci. È qualcosa che vale la pena di evitare.