Apakah SSL benar-benar penting untuk sebagian besar situs web?

Saya sudah cukup paranoid tentang belajar untuk "melakukan keamanan yang benar" untuk situs yang saya bangun ini (situs non-sepele pertama yang saya buat), dan saya perhatikan sesuatu yang mengganggu saya: SSL.

Saya telah membaca banyak utas keamanan di sini, di StackOverflow, dan di tempat lain yang panjang lebar tentang regenerasi id sesi setelah penggunaan, dan bagaimana kata sandi Anda perlu diasinkan, hash, dan tidak pernah disimpan dalam teks biasa. Saya sudah membaca banyak tentang cara mendeteksi kapan sesi dibajak, dengan melacak alamat IP, agen pengguna, dan dengan menggunakan cookie pelacakan.

Apa yang saya tidak mengerti adalah apa salah satu dari ini penting ketika situs web login Anda melalui HTTP POST normal dan mengirimkan kata sandi Anda melalui kawat dalam teks biasa?

Saya memahami bahwa semua metode lain yang saya daftarkan diperlukan untuk mengurangi paparan Anda secara keseluruhan, dan mungkin ada beberapa situs yang tidak membutuhkan keamanan sebesar itu, tapi saya rasa yang saya tanyakan adalah:

• Kapan boleh repot-repot dengan SSL?

Situs-situs seperti Gmail, bank Anda, dan LinkedIn, saya dapat melihat ada alasan untuk menggunakan SSL, tetapi apa yang membuatnya ok bahwa situs-situs seperti Facebook dan reddit tidak mengganggu (sih, PlentyOfFish bahkan menyimpan kata sandi Anda dalam teks biasa dan bahkan mengirim email kepada mereka untuk Anda setiap minggu sebagai pengingat!?!)?

Bagaimana saya harus khawatir dengan memastikan SSL sudah diatur (terutama karena saya akan mulai dengan host bersama, dan saya cukup murah untuk memulai)? Situs saya tidak akan menyimpan informasi pribadi yang khusus, jika itu membantu. Jika situs menjadi sukses, saya serius akan membayar ekstra untuk keamanan tambahan.

Itu penting sama seperti Anda dan pengguna Anda menganggapnya penting. Mengirim kata sandi melalui http sebagai teks biasa tidak membuat mereka rentan terhadap paket sniffing. Sekarang apakah seseorang akan benar-benar repot mengendus paket-paket itu adalah cerita lain. Jika Anda ingin memastikan pengalaman yang paling aman bagi pengguna Anda, gunakan SSL untuk pengiriman login mereka. Jika Anda berpikir pengguna Anda akan lebih bahagia dan lebih cenderung berinteraksi dengan situs web Anda dengan cara yang positif (yaitu membeli barang, melakukan barang, dll) kemudian gunakan SSL untuk pengiriman masuk mereka. Jika Anda memiliki sesuatu yang pantas untuk dicuri (mis. Informasi pengguna) maka gunakan SSL.

Jika Anda tidak memiliki sesuatu yang pantas untuk dicuri, jangan berpikir SSL akan meningkatkan keamanan banyak atau sama sekali, atau pengguna Anda tidak akan melihatnya sebagai fitur yang berguna maka Anda mungkin ingin mempertimbangkan untuk tidak menggunakan SSL.

Untuk berapa biaya memasang sertifikat SSL, kecuali jika Anda menggunakan anggaran yang ketat, tidak pernah buruk untuk mengamankan login situs. Dan jangan biarkan apa yang dilakukan situs lain memengaruhi Anda karena banyak situs yang lebih besar tidak perlu mengikuti praktik-praktik terbaik. Itulah sebabnya tampaknya ada banyak aliran berita tentang satu situs yang dikompromikan.

Mengambil pendekatan yang berlawanan dengan jawaban John, saya pikir Anda harus secara serius mempertimbangkan SSL jika Anda menangani setiap informasi identitas pribadi - untuk menyertakan: nama dengan alamat fisik, alamat e-mail, informasi keuangan, dan komunikasi yang pengguna cukup harapkan untuk menjadi pribadi .

Kecuali jika situs Anda menyediakan sarana bagi pengguna untuk mempublikasikan informasi tentang diri mereka sendiri, Anda harus mempertimbangkan informasi pengenal pribadi yang disediakan oleh pengguna Anda untuk dipegang oleh Anda dan Anda hanya memiliki kepercayaan diri yang ketat kecuali jika kebijakan privasi situs Anda memberi tahu pengguna Anda sebaliknya.

Cegah pihak ketiga yang tidak berwenang melihat informasi pengunjung Anda dan terus beri tahu pengguna tentang bagaimana Anda menggunakan informasi mereka untuk menjaga kepercayaan pengunjung Anda.

Bahkan Facebook melakukan ini, sejauh yang saya tahu.

<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form" onsubmit=";var d=document.documentElement;if (d.onsubmit) { return d.onsubmit(event); }else { return Event.fire(d, &quot;submit&quot;, event); }">

(Facebook.com login sumber HTML)

Pada Agustus 2014 Google telah secara resmi mengindikasikan bahwa HTTPS akan digunakan sebagai sinyal peringkat.

Ini berarti bahwa meskipun situs web Anda adalah situs web yang sepenuhnya statis, jika Anda peduli tentang SEO, Anda setidaknya harus mempertimbangkan untuk menyiapkan sertifikat SSL.

Tentu saja HTTPS hanyalah satu sinyal peringkat dari ratusan, jadi mungkin ada hal-hal yang lebih penting yang dapat Anda lakukan untuk SEO.

Berikut adalah sudut yang mungkin tidak Anda pertimbangkan: tidak menggunakan SSL / TLS dapat membuat pengguna Anda terpantau secara pasif bahkan jika situs Anda tidak memiliki login.

Seorang aktor ancaman mungkin hanya duduk di antara pengguna Anda dan seluruh Internet, menonton semua URL permintaan pengguna Anda dan membangun pola hal-hal yang dilihat pengguna Anda. Masing-masing bit informasi mungkin memang tidak signifikan dalam isolasi, tetapi menggabungkan banyak bit informasi dapat membuat gambaran yang jauh lebih besar.

Karena alasan inilah saya menawarkan HTTPS di situs saya sendiri, yang hanya menyediakan konten statis.