L'aggiunta di un SSL crea fiducia nei clienti tecnici? [chiuso]

Naviga le tue risposte
4

Nota: la maggior parte di questa domanda si basa sul fatto che molti dei miei membri e io siamo ad un passo dall'essere cappelli di lamina di metallo. Se continui a leggere e rispondere a questa domanda, ti preghiamo di ricordarlo.

Contribuisco all'organizzazione di un forum della comunità in cui parliamo di notizie tecnologiche, progressi fatti e in generale come cercare di migliorare il web dalla programmazione migliore agli standard di sicurezza. Ho ufficialmente acquistato un certificato SSL per rendere me stesso, il mio staff e alcuni utenti più felici con gli occhi curiosi, possiamo essere più sicuri visitando i forum.

Forzando tutti i membri e le connessioni in tutto il sito web a utilizzare https:// invece di http:// , abbiamo la sensazione che le cose siano un po 'più migliori per le recenti fughe di Edward Snowden e per i problemi emersi da questo - più alcuni con Neutrality Net.

Aggiungendo questo certificato SSL, puoi contribuire a creare fiducia che il tuo sito sia più sicuro, con meno occhi indiscreti, e i nostri utenti sono utenti tecnici che si fidano di noi più che stiamo facendo la cosa giusta.

L'aggiunta di un certificato SSL contribuisce a creare fiducia con le persone che sono preoccupate per la sicurezza?

    
posta Traven 13.05.2014 - 08:48
fonte

2 risposte

10

Un certificato SSL fornisce tre elementi:

  • riservatezza
  • integrità
  • l'autenticazione

Tuttavia fornisce solo queste tre cose alla connessione tra client e server . Questo rende il tuo sito Web più sicuro? Sì e no.

Si assicura come dici che gli occhi indiscreti non saranno in grado di annusare nome utente e password quando questi dati sono in transito tra client e server.

Tuttavia SSL non fornisce alcuna garanzia sul modo in cui hai codificato la tua applicazione, gestisci il tuo server, gestisci i dati riservati o concedi e distribuisci l'accesso privilegiato. La sicurezza è molto più della semplice aggiunta di certificati SSL a un sito web. È la parte della soluzione, ma non quella completa. La sicurezza deve essere eseguita in profondità.

TLDR;

Quindi può aiutare a costruire la fiducia? Bene, l'utente saprà che il suo nome utente e la password non possono essere annusati, ma se la tua applicazione è codificata male e usi admin:admin come login del server, allora ci sono altri, più facili vettori di attacco che gli aggressori potrebbero abusare per ottenere l'accesso ai dati dell'utente . Ma soprattutto dipende in gran parte dalla consapevolezza dell'utente.

    
risposta data 13.05.2014 - 09:12
fonte
5

SSL o https ha una reputazione sul mercato, cioè gli utenti finali si fidano maggiormente del sito Web, sicuramente, ma non è l'unica area che dovrà essere protetta ovviamente. Ma sì, sicuramente migliorerà la fiducia dei tuoi clienti esperti di tecnologia.

SSL offre non ripudio, riservatezza e integrità. Riservatezza e integrità potrebbero essere ovvie per te, quindi mi concentrerò sul non ripudio. In questo caso, il non disconoscimento garantisce che il sito web (il mittente) non possa negare che ha inviato il messaggio, e questo è un modo molto lungo per stabilire la fiducia.

Come ha detto Lucas, ci sono altri fattori oltre alle implementazioni SSL che governano la sicurezza, ma direi che SSL è forse il più negoziabile e ovvio per l'utente finale. I browser indicano all'utente finale i punti salienti in verde se un sito Web ha superato tutte le forme di autenticazione SSL i.e

  • Validità della data del certificato
  • Revoca del certificato (se il certificato viene revocato a causa di problemi con la proprietà del certificato o se è un certificato obsoleto)
  • Se gli emittenti (catena di emittenti) sono considerati affidabili dal cliente
  • Convalida firma digitale
  • Corrispondenza del nome di dominio per prevenire attacchi man in the middle.

Ovviamente SSL impedisce solo agli sniffer di intercettare e visualizzare / modificare i dati durante la trasmissione.

Se i tuoi utenti sono molto esperti di tecnologia, ti consiglio di aggiungere anche Http Only e < a href="https://www.owasp.org/index.php/SecureFlag#Overview"> Sicuro contrassegna come risposta. I clienti possono facilmente rilevarlo utilizzando gli strumenti del browser e, oltre a commercializzare semplicemente le funzionalità di sicurezza, è davvero un parametro importante per migliorare la tua sicurezza.

    
risposta data 13.05.2014 - 09:29
fonte

Leggi altre domande sui tag

Quanto è pericoloso archiviare la password con hash nella memoria locale? Come posso verificare di aver disabilitato correttamente i metodi HTTP non necessari?