Tôi đã khá hoang tưởng về việc học cách "làm bảo mật ngay" cho trang web này Tôi đang xây dựng (trang web không tầm thường đầu tiên tôi đã tạo) và tôi đã nhận thấy một điều làm phiền tôi: SSL.
Tôi đã đọc rất nhiều luồng bảo mật ở đây, trên StackOverflow và các nơi khác tiếp tục về việc tạo lại id phiên sau khi sử dụng và cách mật khẩu của bạn cần được lưu trữ, băm và không bao giờ được lưu trữ trong văn bản thuần túy. Tôi đã đọc rất nhiều về cách phát hiện khi một phiên bị tấn công, bằng cách theo dõi địa chỉ IP, tác nhân người dùng và bằng cách sử dụng cookie theo dõi.
Điều tôi không hiểu là bất kỳ điều gì trong số này quan trọng khi trang web đăng nhập bạn thông qua HTTP POST bình thường và gửi mật khẩu của bạn qua dây bằng văn bản thuần túy?
Tôi hiểu rằng tất cả các phương pháp khác mà tôi đã liệt kê là cần thiết để giảm mức độ hiển thị chung của bạn và có thể có một số trang web không cần bảo mật nhiều như vậy, nhưng tôi đoán những gì tôi đang hỏi là:
- Khi nào không ổn với SSL?
Các trang web như Gmail, ngân hàng của bạn và LinkedIn, tôi có thể thấy có lý do để sử dụng SSL, nhưng điều gì làm cho nó ổn khi các trang web như Facebook và reddit không làm phiền (địa ngục, PlentyOfFish thậm chí lưu trữ mật khẩu của bạn bằng văn bản đơn giản và thậm chí gửi email để bạn hàng tuần như một lời nhắc nhở!?!)?
Tôi nên quan tâm đến việc đảm bảo SSL được thiết lập (đặc biệt là khi tôi bắt đầu với một máy chủ được chia sẻ và tôi bắt đầu khá rẻ)? Trang web của tôi sẽ không giữ bất kỳ thông tin cá nhân đặc biệt nào, nếu điều đó có ích. Nếu trang web trở thành một thành công, tôi nghiêm túc xem xét việc trả thêm tiền cho bảo mật được thêm vào.