認証システムにsslが必要ですか？

Question

私はビデオでウェブサイトを開発しています。私は自分のサイトにトランザクションがありません。私はログインシステムを持っています。

私はログインシステムにsslが必要と思いますか？私はFacebookにも統合されているので、ほとんどのユーザーはFacebookアカウントでログインします。

私のようなウェブサイトでsslの代替手段はありますか？

Answer 1

SSL/TLS（またはこれと同等のシステムを使用して、渡した情報の機密性を暗号化/保護する）を使わずにインターネットを経由するものは、誰にでも完全に侵害されて見えるものとみなされる必要があります。あなたのケースでは、ユーザー名、パスワード、およびセッショントークンが含まれているため、攻撃者はあなたのUN/PWの組み合わせを学ぶことができるため、長期間ユーザーを偽装したり、セッショントークンを使用してログインユーザー。

これを保護する必要がありますか？絶対にリスクの決定。あなたのデータの機密レベルは？この妥協案が起こった場合の影響は？ユーザー名とパスワードを世界中で利用できるようにするにはどうすればよいでしょうか？ユーザーがウェブサイト間でパスワードを再利用する傾向があるため、サイトの評判（および評判）に何らかの損害が発生します。

Facebookベースのログインでも同じことが起こる可能性があります。これはOAuthを使用します.OAuthは、クライアントからサーバーに送信されるベアラトークンです。これがSSL/TLSトンネルの外部に送信された場合、ベアラトークンの動作方法に基づいて、トークンを見て再利用してユーザーとして動作することができるすべての人物が侵害されたとみなされる必要があります。

基本的に、SSL/TLSは、尊敬され信頼できるCAの証明書とサーバーの電源/待ち時間の両方の点で安いです。重要なサイズのユーザーがいる場合は、SSL/TLSを使用することは非常に簡単です。

Answer 2

多くの人が異なるサイトで同じログインを使用するため、盗聴を防ぐためにsslを使用することをお勧めします。

それはあなたが心配していると、あなたのサイト上の任意の金融取引をしない価格である場合、あなたは自由な証明書を取得しようとすることができます：https://www.startssl.com/?app=1

Answer 3

私は真剣にサードパーティのOpenIDやOAuthの使用を検討しますプロバイダを認証システムとして使用します。ログインの処理には多くの考慮事項があります。多くの場合、弱いハッシュ関数を使用してパスワードを保存するカスタムログインシステムによって、ユーザーは危険にさらされます。良い例はGawker leak which used DES for password storageです。かなり恐ろしいもの、特にこれが完全に避けることができると思うとき。

明らかに、ネットワーク経由でユーザー名とパスワードを送信するにはSSLが必要です。しかし実際には、ユーザーはCookie値またはセッショントークンを使用してアプリケーションに対して認証されます。これはの実際の方法であり、なぜOWASP a9でこの値が安全でないチャネルで流されないことが必要なのですか。

あなたのウェブサイトに価値がある場合は、SSLを使用してユーザーのセッションを保護してください。あなたのウェブサイトが役に立たず、誰かがアカウントを持っているのを気にしていないなら、なぜそれを構築するのですか？