Se un sito ha SSL se non ha un modulo di accesso?

Si tratta di ciò che stai cercando di ottenere e / o mitigare con l'uso di SSL. Le persone a caso su Internet non possono valutare le informazioni della tua azienda. Quindi è necessario tenerlo a mente: tutto dipende dal rischio, dalla probabilità del rischio e da quanto lontano si andrebbe a mitigare tale rischio.

@apsillers offre un buon punto sui moduli di domanda di lavoro in quanto i potenziali candidati invieranno informazioni personali con il fiducia che andranno al destinatario previsto. Concordo anche con il punto sul aspetto di un sito Web sicuro e un atteggiamento più professionale quando si fa lampeggiare quel lucchetto a un potenziale cliente, soprattutto se la vostra azienda IT offre consulenza sulla sicurezza, quindi potrebbe essere una buona idea per utilizzare HTTPS.

Personalmente, mi propongo sempre di utilizzare HTTPS, anche per un sito Web Hello Kitty.

Il fatto che il tuo sito web abbia moduli di domanda di lavoro è una ragione sufficiente per avere SSL. In particolare, gli utenti si aspettano di inserire alcune informazioni personali nel tuo sito web, ma non sanno esattamente quali informazioni.

Lasciare che un intercettatore legga il contenuto di un'applicazione di lavoro è brutto, ma peggiora. Anche se il tuo modulo di domanda non ha informazioni estremamente sensibili (nome, indirizzo, informazioni sul resume pubblico), un utente malintenzionato attivo potrebbe riscrivere il tuo modulo per renderlo sostanzialmente più completo. Forse non chiedi un numero di previdenza sociale sul modulo, ma i tuoi utenti non lo sanno. Potrebbero essere perfettamente felici a compilare un modulo modificato da attaccante con richieste di dati leggermente più intrusive.

Se non gestisci le applicazioni direttamente sul tuo sito, ma fornisci solo un numero di contatto per il tuo reparto risorse umane, anche questo è abbastanza brutto: un utente malintenzionato potrebbe facilmente riscrivere le informazioni di contatto al suo numero di cellulare e prendere le informazioni personali della vittima per telefono. (Naturalmente, SSL stripping potrebbe rendere l'SSL meno utile qui. Mentre un utente potrebbe esitare a inviare informazioni personali su una connessione non protetta, anche un utente ragionevolmente controverso potrebbe non pensarci due volte ad accettare un numero di telefono fornito tramite una connessione non protetta. SSL stripping utilizzando Sicurezza di trasporto rigorosa HTTP , che indica al browser dell'utente di non accettare mai connessioni non sicure da una particolare fonte.)

In sintesi, le informazioni sensibili funzionano in entrambi i modi:

• Qualsiasi informazione sensibile che gli utenti inviano al tuo sito dovrebbe essere crittografata. Le "informazioni sensibili" potrebbero includere moduli di accesso e cookie di sessione, ma potrebbero anche includere informazioni personali o persino quali pagine scelgono di richiedere dal tuo sito. (Ad esempio, cercando risorse di aiuto fiscale dal L'IRS per particolari argomenti sensibili potrebbe rivelare informazioni su acquisti recenti di grandi dimensioni, eventi importanti della vita, ecc.)

• Qualsiasi informazione che il tuo sito invia ai tuoi utenti dovrebbe essere crittografata, se potrebbe esserci un danno significativo a causa della modifica di tali informazioni. In particolare, dare agli attaccanti la possibilità di riscrivere i numeri di contatto è un rischio significativo, come descritto sopra. Forse l'unico caso in cui questo requisito non si applica è se il tuo sito web non contiene informazioni utili e l'utente è improbabile che venga indotto a pensare che dovrebbe.

SSL offre numerosi vantaggi, non solo la privacy dei dati. Presentando un certificato SSL debitamente firmato ci sono alcune garanzie che il server al quale i client si connettono effettivamente è il tuo (supponiamo che le CA non siano negligenti).

SSL fornisce l'integrità dei dati. Per ogni stringa di testo, white paper, immagine, patch, qualunque cosa, l'utente può avere la certezza che le informazioni che vedono siano effettivamente ciò che stai presentando (supponiamo che il tuo server non sia stato violato).

L'identificatore visivo di una sessione SSL nel tuo browser fornisce un indicatore del livello PR che la tua azienda prende sul serio. Che vogliono che il loro messaggio sia ascoltato correttamente. È implicito che anche la società sarà altrettanto attenta con i dati dei propri clienti / clienti.

Mentre è ovvio che qualsiasi sito Web che accetta informazioni sensibili deve essere crittografato, ci sono altri vantaggi che possono renderlo utile.

Personalmente, sono del parere che la crittografia SSL sia abbastanza economica, a questo punto che non c'è quasi nessuna ragione non per attivarla di default. Almeno allora, se cambi il tuo modello di business e inizi a prendere le informazioni online, non dovrai aggiornare nulla.

Sono un fan di SSL ovunque. Potresti non trasmettere nulla che potrebbe essere sensibile ora, ma non sai mai se questo potrebbe cambiare.

A mio parere, non c'è davvero alcuna buona ragione per NON usare SSL.

Riguardo ai commenti qui sotto sui certificati SSL gratuiti, il FEP ha lanciato il suo programma Let's Encrypt , che fornisce certificati SSL affidabili e gratuiti.

Sì, il tuo sito dovrebbe avere SSL.

• SSL e i suoi certificati non sono molto costosi in questo momento. Certo, puoi acquistare certificati molto costosi, ma il livello di iscrizione è piuttosto basso
• Stai raccogliendo informazioni personali sul lato client e trasmettendole al server (perché qualcuno dovrebbe esserne al corrente?)

L'impostazione predefinita dovrebbe essere "SSL" a meno che non si abbia una ragione valida (es .: nessun dato del cliente che ritorna, qualsiasi dato tra server e client sarebbe ok se pubblicato sulla prima pagina del New York Times ecc.)

Esiste un enorme malinteso sul fatto che SSL sia una sorta di firewall o qualcosa del genere, semplicemente non è vero. SSL serve per proteggere da attacchi Man-in-the-middle o se il traffico del gateway viene monitorato quando l'host o il client inviano informazioni riservate.

I maggiori rischi che hai sono:

• Le informazioni del tuo sito sembrano essere modificate se la connessione del client è compromessa
• I clienti riprendono a essere intercettati
• Ricezione del curriculum del cliente modificato

Non vedo questo come un tuo problema.

SSL non blocca gli attacchi XSS o di iniezione, buona programmazione.

Non solo dovresti implementare HTTPS, ma dovrebbe essere attivo per impostazione predefinita. Questo mi ricorda una frase di EFF che è andata in questo modo: "in un mondo ideale, ogni richiesta web verrebbe inviata su SSL / TLS". Sicurezza e privacy dovrebbero essere attive per impostazione predefinita. Non può essere opzionale. E per la privacy non essere sospettosi, tutti devono fare la loro parte. Come altri hanno già detto, stai acquisendo dati sensibili (informazioni personali), quindi fai attenzione ai tuoi utenti.

Non penso che abbia senso avere uno se non si trasferiscono informazioni sensibili su di esso. Inoltre, se sei al punto in cui le persone capiranno le email sicure, capiranno anche che i meccanismi del sito e i meccanismi della posta elettronica possono essere molto diversi. Non mi aspetto che nessuno se ne accorga, onestamente.