Se un sito ha SSL se non ha un modulo di accesso?

21

Abbiamo un sito al lavoro che viene utilizzato per quanto segue:

  1. La nostra home page, che è solo alcune informazioni e informazioni di contatto.
  2. Le applicazioni di lavoro vengono gestite anche sul nostro sito.

Non esiste un posto dove puoi effettuare il login.

Ho detto al management, visto che siamo un'azienda che fa ingegneria del software, farebbe una migliore impressione sui potenziali clienti se il nostro sito avesse un certificato SSL e se applicassimo automaticamente SSL sul browser di chiunque che visita il sito.

Inoltre, anche se utilizziamo Gmail aziendale di Google, utilizziamo ancora lo stesso nome di dominio per il nostro sito web che utilizziamo per le email. In altre parole, [email protected] e il nostro sito è company.com. In altre parole, i potenziali clienti potrebbero anche avere una cattiva impressione se si rendessero conto che non avevamo un certificato SSL, poiché penserebbero che il nostro server di posta elettronica non stia inviando il TLS.

Dovremmo avere un certificato SSL anche se nessun dato "sensibile" o "importante" che deve essere crittografato verrà inviato o recuperato dal nostro sito?

    
posta MyMichelle 12.07.2013 - 15:25
fonte

8 risposte

30

Si tratta di ciò che stai cercando di ottenere e / o mitigare con l'uso di SSL. Le persone a caso su Internet non possono valutare le informazioni della tua azienda. Quindi è necessario tenerlo a mente: tutto dipende dal rischio, dalla probabilità del rischio e da quanto lontano si andrebbe a mitigare tale rischio.

@apsillers offre un buon punto sui moduli di domanda di lavoro in quanto i potenziali candidati invieranno informazioni personali con il fiducia che andranno al destinatario previsto. Concordo anche con il punto sul aspetto di un sito Web sicuro e un atteggiamento più professionale quando si fa lampeggiare quel lucchetto a un potenziale cliente, soprattutto se la vostra azienda IT offre consulenza sulla sicurezza, quindi potrebbe essere una buona idea per utilizzare HTTPS.

Personalmente, mi propongo sempre di utilizzare HTTPS, anche per un sito Web Hello Kitty.

    
risposta data 12.07.2013 - 15:57
fonte
21

Il fatto che il tuo sito web abbia moduli di domanda di lavoro è una ragione sufficiente per avere SSL. In particolare, gli utenti si aspettano di inserire alcune informazioni personali nel tuo sito web, ma non sanno esattamente quali informazioni.

Lasciare che un intercettatore legga il contenuto di un'applicazione di lavoro è brutto, ma peggiora. Anche se il tuo modulo di domanda non ha informazioni estremamente sensibili (nome, indirizzo, informazioni sul resume pubblico), un utente malintenzionato attivo potrebbe riscrivere il tuo modulo per renderlo sostanzialmente più completo. Forse non chiedi un numero di previdenza sociale sul modulo, ma i tuoi utenti non lo sanno. Potrebbero essere perfettamente felici a compilare un modulo modificato da attaccante con richieste di dati leggermente più intrusive.

Se non gestisci le applicazioni direttamente sul tuo sito, ma fornisci solo un numero di contatto per il tuo reparto risorse umane, anche questo è abbastanza brutto: un utente malintenzionato potrebbe facilmente riscrivere le informazioni di contatto al suo numero di cellulare e prendere le informazioni personali della vittima per telefono. (Naturalmente, SSL stripping potrebbe rendere l'SSL meno utile qui. Mentre un utente potrebbe esitare a inviare informazioni personali su una connessione non protetta, anche un utente ragionevolmente controverso potrebbe non pensarci due volte ad accettare un numero di telefono fornito tramite una connessione non protetta. SSL stripping utilizzando Sicurezza di trasporto rigorosa HTTP , che indica al browser dell'utente di non accettare mai connessioni non sicure da una particolare fonte.)

In sintesi, le informazioni sensibili funzionano in entrambi i modi:

  • Qualsiasi informazione sensibile che gli utenti inviano al tuo sito dovrebbe essere crittografata. Le "informazioni sensibili" potrebbero includere moduli di accesso e cookie di sessione, ma potrebbero anche includere informazioni personali o persino quali pagine scelgono di richiedere dal tuo sito. (Ad esempio, cercando risorse di aiuto fiscale dal L'IRS per particolari argomenti sensibili potrebbe rivelare informazioni su acquisti recenti di grandi dimensioni, eventi importanti della vita, ecc.)

  • Qualsiasi informazione che il tuo sito invia ai tuoi utenti dovrebbe essere crittografata, se potrebbe esserci un danno significativo a causa della modifica di tali informazioni. In particolare, dare agli attaccanti la possibilità di riscrivere i numeri di contatto è un rischio significativo, come descritto sopra. Forse l'unico caso in cui questo requisito non si applica è se il tuo sito web non contiene informazioni utili e l'utente è improbabile che venga indotto a pensare che dovrebbe.

risposta data 12.07.2013 - 16:16
fonte
17

SSL offre numerosi vantaggi, non solo la privacy dei dati. Presentando un certificato SSL debitamente firmato ci sono alcune garanzie che il server al quale i client si connettono effettivamente è il tuo (supponiamo che le CA non siano negligenti).

SSL fornisce l'integrità dei dati. Per ogni stringa di testo, white paper, immagine, patch, qualunque cosa, l'utente può avere la certezza che le informazioni che vedono siano effettivamente ciò che stai presentando (supponiamo che il tuo server non sia stato violato).

L'identificatore visivo di una sessione SSL nel tuo browser fornisce un indicatore del livello PR che la tua azienda prende sul serio. Che vogliono che il loro messaggio sia ascoltato correttamente. È implicito che anche la società sarà altrettanto attenta con i dati dei propri clienti / clienti.

Mentre è ovvio che qualsiasi sito Web che accetta informazioni sensibili deve essere crittografato, ci sono altri vantaggi che possono renderlo utile.

Personalmente, sono del parere che la crittografia SSL sia abbastanza economica, a questo punto che non c'è quasi nessuna ragione non per attivarla di default. Almeno allora, se cambi il tuo modello di business e inizi a prendere le informazioni online, non dovrai aggiornare nulla.

    
risposta data 12.07.2013 - 20:00
fonte
9

Sono un fan di SSL ovunque. Potresti non trasmettere nulla che potrebbe essere sensibile ora, ma non sai mai se questo potrebbe cambiare.

A mio parere, non c'è davvero alcuna buona ragione per NON usare SSL.

Riguardo ai commenti qui sotto sui certificati SSL gratuiti, il FEP ha lanciato il suo programma Let's Encrypt , che fornisce certificati SSL affidabili e gratuiti.

    
risposta data 12.07.2013 - 19:13
fonte
4

Sì, il tuo sito dovrebbe avere SSL.

  • SSL e i suoi certificati non sono molto costosi in questo momento. Certo, puoi acquistare certificati molto costosi, ma il livello di iscrizione è piuttosto basso
  • Stai raccogliendo informazioni personali sul lato client e trasmettendole al server (perché qualcuno dovrebbe esserne al corrente?)

L'impostazione predefinita dovrebbe essere "SSL" a meno che non si abbia una ragione valida (es .: nessun dato del cliente che ritorna, qualsiasi dato tra server e client sarebbe ok se pubblicato sulla prima pagina del New York Times ecc.)

    
risposta data 13.07.2013 - 22:29
fonte
2

Esiste un enorme malinteso sul fatto che SSL sia una sorta di firewall o qualcosa del genere, semplicemente non è vero. SSL serve per proteggere da attacchi Man-in-the-middle o se il traffico del gateway viene monitorato quando l'host o il client inviano informazioni riservate.

I maggiori rischi che hai sono:

  • Le informazioni del tuo sito sembrano essere modificate se la connessione del client è compromessa
  • I clienti riprendono a essere intercettati
  • Ricezione del curriculum del cliente modificato

Non vedo questo come un tuo problema.

SSL non blocca gli attacchi XSS o di iniezione, buona programmazione.

    
risposta data 12.07.2013 - 18:22
fonte
2

Non solo dovresti implementare HTTPS, ma dovrebbe essere attivo per impostazione predefinita. Questo mi ricorda una frase di EFF che è andata in questo modo: "in un mondo ideale, ogni richiesta web verrebbe inviata su SSL / TLS". Sicurezza e privacy dovrebbero essere attive per impostazione predefinita. Non può essere opzionale. E per la privacy non essere sospettosi, tutti devono fare la loro parte. Come altri hanno già detto, stai acquisendo dati sensibili (informazioni personali), quindi fai attenzione ai tuoi utenti.

    
risposta data 11.04.2014 - 07:26
fonte
-2

Non penso che abbia senso avere uno se non si trasferiscono informazioni sensibili su di esso. Inoltre, se sei al punto in cui le persone capiranno le email sicure, capiranno anche che i meccanismi del sito e i meccanismi della posta elettronica possono essere molto diversi. Non mi aspetto che nessuno se ne accorga, onestamente.

    
risposta data 12.07.2013 - 15:32
fonte

Leggi altre domande sui tag