该网站允许用户注册(姓名、电子邮件和密码)。它就像一个论坛,但不涉及电子商务。
我最初的计划是让网站有一个安全部分,例如 secure.example.com,用于保存注册表单和登录信息。这是一个好主意还是有点过头了?
答案1
在您收集信息的所有场合,通过 SSL 连接(使用适当的证书保护)进行信息交换始终被视为最佳做法。
如果您通过主域的子域或主域的 SSL 版本执行此操作,则整个交易不会有任何变化,只需进行几次重定向即可。其工作原理基本上取决于您的个人偏好以及您希望用户流如何通过您的应用程序运行。
答案2
您不需要子域名,只需重定向到“https://example.com“用于注册/登录。您可以对 HTTP 和 HTTPS 使用同一个域名,不会出现任何问题。
是的,如果您处理密码,则应该使用 SSL。您还需要为您的域名提供有效的证书。
答案3
SSL 证书对于加密服务器和客户端之间的通信非常重要,可以防止中间人攻击,因为中间人攻击可能会读取或干扰通信。它还有助于在最终用户和他们使用的网站之间建立信任,许多用户现在都熟悉增强型 SSL 证书,这种证书会将地址栏(或其中的一部分)变成绿色。这些增强型 SSL 证书通常需要证书颁发机构 (CA) 进行额外检查,然后才会授予您证书。然而,这些证书非常昂贵,我最近只花了 67 英镑(撰写本文时约为 100 美元)就获得了具有良好加密功能的 Geotrust SSL 证书。
不要忘记,用户通常会在多个网站上重复使用他们的电子邮件地址和密码,尽管您的网站可能不包含任何没有 SSL 证书的机密信息,但如果您不使用 SSL 加密,您的用户将面临风险,因为攻击者可能会入侵 JoeBlogs 并登录他们的 gmail/paypal/其他网站。如果您真的没有钱购买权威机构颁发的 SSL 证书,那么您可以自行签署证书,这将为您的用户生成警告,但至少如果他们同意,通信将被加密!
关于只加密网站部分内容的问题,你必须小心谨慎...我最近将我的一个网站设置为专用于 SSL,包括通过 SSL 传输 cookie。否则,从技术上讲,攻击者可以在用户使用网站的 HTTP 部分时接管用户会话。
答案4
SSL 很便宜。
诉讼可能会花费你数百万美元。
这是一个简单的选择。
只需确保整个站点的安全,不要担心 secure.xxx 的内容,从技术角度来看,这并没有什么意义,除非由不同的服务器明确处理。
说真的,你可以从各种 rapidssl 经销商那里以 12 美元的价格购买合适的 SSL 证书。你不仅可以保护用户名/登录详细信息,还可以保护存储在 cookie 中的任何 HTTP 会话信息,因为 cookie 事务也将进行 SSL 加密。