Va bene solo proteggere (usando SSL) la pagina di accesso, ma non il resto del sito? [duplicare]

4

Sto creando un CMS PHP / MySQL personalizzato per un client (perché Wordpress è eccessivo per le particolari esigenze di questo cliente). Ora, so che questo client utilizza una posizione wi-fi pubblica un po ', quindi ecco la domanda.

Il CMS si trova all'indirizzo link e la pagina di accesso si trova in link

Ha senso crittografare solo la pagina di accesso, ad esempio? Quindi, una volta che l'utente si autentica e passa a un'altra pagina, ad esempio un contatto, apparirebbe come link (non httpS in questo caso) .

È possibile che uno sniffer di pacchetti (o qualsiasi altro strumento) rilevi le credenziali di accesso una volta che l'utente ha effettuato l'accesso? Per riformulare la domanda, è sufficiente proteggere solo la pagina di accesso?

Non sono un ragazzo di rete, quindi non sono sicuro di quali dati vengano trasmessi su un wi-fi pubblico visto da uno strumento di sniffing e cosa no.

    
posta JohnJ 30.08.2012 - 19:48
fonte

2 risposte

6

Questa è davvero una domanda basata sulle esigenze del tuo sito e dei suoi utenti. SSL offre due servizi principali. Per uno, convalida l'identità del server a cui l'utente si connette per l'utente. Protegge inoltre la trasmissione di informazioni sensibili dall'utente al server.

Se la maggior parte del tuo sito non è sensibile in caso di spoofing e non richiede all'utente di trasmettere informazioni sensibili, non c'è motivo per cui sia necessario utilizzare SSL sul resto del tuo sito. Vale la pena notare che se l'utente accede al sito tramite una pagina non protetta da SSL, è possibile che qualcuno salti tra l'utente e il sito web e sequestra la sessione, quindi l'identità di un utente che ha effettuato l'accesso non dovrebbe generalmente essere fidato al di fuori di una connessione SSL, ma anche questo non è sempre un problema, a seconda delle esigenze di sicurezza.

Per quanto riguarda la tua domanda su quando vengono trasmesse le credenziali, purché il tuo sito sia configurato correttamente, una volta che una sessione è associata a un utente, le credenziali non dovrebbero essere ritrasmesse in chiaro. I dettagli esatti di come viene mantenuta la sessione dipenderanno dall'approccio utilizzato, ma la maggior parte genererà un qualche tipo di token o identificatore univoco al momento dell'autenticazione e trasmetterà quello invece. L'identificatore diventa quindi non valido quando la sessione scade.

    
risposta data 30.08.2012 - 20:27
fonte
2

Basandosi sulla risposta di AJ sopra riportata - se non si sta crittografando la connessione, vengono esposti tutti i dati inviati avanti e indietro. Avete informazioni sensibili come accessi, nomi utente, hash, informazioni personali identificabili (PII), o altre informazioni nei cookie o inviate tramite POST o GET, per quanto riguarda le cose che accadono tramite AJAX?

Se il tuo sito non subirà un enorme successo in termini di prestazioni e non sarà segregato in modo tale da richiedere ulteriori certificati SSL, potresti utilizzare anche SSL.

Raccomando anche di crittografare un modulo di contatto. Conosco un sacco di aziende che hanno clienti che pensano che un modulo di contatto è il luogo ideale per inviare loro numeri di carta di credito, numeri di conto e tutti i tipi di altre informazioni personali o sensibili. C'è altro da proteggere quindi solo credenziali; in definitiva, desideri le credenziali in modo da poter accedere ad altre informazioni di valore.

    
risposta data 30.08.2012 - 20:51
fonte

Leggi altre domande sui tag