私はブローカー(JSF 2 + richfaces + oracle 10g)のWebサイトを開発しています。私はHTTPSに関してあなたの意見を持っていました。(私の場合は必要ではないと思うからです。重要な詳細)。SSLを使用することは必須ですか?
ので:
私の場合はSSLを使用する必要がありますか?
はい、それは確かにそれのように聞こえる。認証には通常、ユーザー名とパスワードの組み合わせをサーバーに送信する必要があります。 は決してでなければなりません。そのため、要件だけでSSLを有効にすることができます。さらに、株式を売買することは、あなたが安全なやり方でやりたいことのように聞こえる。
私はあなたの懸念事項を理解していません。 SSLで保護されたWebサイトを持っていても、1行のコードを書く必要はありません。それは単なるSSL証明書を購入し、あなたのWebサーバーを設定することの問題です。
実際のお金がかかるので、実際には必要だと思います。ユーザーが詳細を知らせなくても、ユーザーとサーバーの間にman-in-the-middle攻撃が存在する可能性があり、誰でも自分の資格情報でサーバーにアクセスできるようになります。
リアルマネーが含まれていない場合(明らかに書き出されていない場合)、必ずしも必要ではありません。
もしユーザーが何か敏感なものを渡しているなら(私は株取引のための番号は非常に敏感です)、私の意見ではHTTPSが重要です。
私があなたが説明したものを見ていると、あなたは自分自身を特定するユーザーがいて、基本的にWeb上のアカウントに関するすべての情報を渡しています。可能な限り確実に確保してください。
HTTPSやワンタイムパスワードシステムを使用せずに、認証トークンを(あなたのケースのパスワードで)安全に取得する方法はありません。
いずれにしても、このタイプのアクセスをHTTPSで保護したい場合は、私はそれを信頼しないかもしれません。
私はそれが帯域幅に影響することを恐れているので。 – mohamida
@mohamida、人生で何も無料です。ウェブサイトを保護するには、データを暗号化するための追加のCPUが必要です。しかし、安全でないシステムを持つと、潜在的にビジネス全体のコストがかかります。あなたは最高のものを決める。 –
帯域幅*および* CPUへの影響はごくわずかです。 –