Quando usare SSL? / Quando inviare le password per posta?

Naviga le tue risposte
1

Gli esperti auto proclamati sono pronti a dire che per ogni volta che una password viene trasmessa da un server web a un utente e vv, è necessario utilizzare SSL. Perché ci saranno persone ogni volta che cercheranno di ottenere la tua password che è sempre in mezzo tra te e il server da cui richiedi i dati. Se sei in un forum di crochet, ci saranno milioni di euro spesi per ottenere la tua password, anche se sei una nonnina di 90 anni senza soldi.

Stessa cosa con l'invio di password via email.

Dato che i certificati SSL sono costosi, come dovrebbero essere giudicati questi due problemi di sicurezza:

Quando è necessario avere SSL?

Non dovresti mai inviare password usando la posta?

    
posta Zurechtweiser 13.06.2013 - 00:49
fonte

3 risposte

10

Di norma, se si esegue un sito Web che richiede l'autenticazione, è necessario eseguire SSL. E discuto la tua affermazione che i certificati SSL sono costosi ... Ne ho appena acquistato uno per un mio sito web personale per meno di 15 euro per due anni. È più economico del nome di dominio, infatti.

Non dovresti nemmeno inviare password via email. È invece leggermente più sicuro inviare i link per la reimpostazione della password tramite e-mail.

Il vero problema non è che qualcuno possa ottenere la password del forum di Granny, ma quella nonnina è statisticamente probabile che abbia usato la stessa password per il suo sito web bancario. E non possiamo averlo rubato.

    
risposta data 13.06.2013 - 01:03
fonte
7

Spargere il token di sessione su un canale non sicuro, come HTTP, è una violazione di OWASP a9 e può essere utilizzato per compromettere una sessione autenticata ( Firesheep ). La password e ogni richiesta che contiene un token di sessione deve essere trasmessa su HTTPS.

Se la tua applicazione web utilizza l'autenticazione, HTTPS è obbligatorio .

    
risposta data 13.06.2013 - 01:20
fonte
2

Il costo è relativo, i buoni certificati non sono economici, e forse i certificati "abbastanza buoni" non sono molto costosi ... ma per quanto riguarda la domanda relativa alla password, IMO, non dovresti MAI inviare a qualcuno la loro password - non dovresti essere in grado di Qualsiasi servizio online che è stato in grado di mandarmi una e-mail la mia password dimenticata, annullo il mio account e andare avanti; dovevo farlo più volte Mostra una fondamentale mancanza di consapevolezza della sicurezza, specialmente se ti stanno tenendo anche CC e / o altre informazioni personali.

Se possono inviarti tramite posta elettronica la password, non la memorizzano correttamente.

    
risposta data 13.06.2013 - 01:47
fonte

Leggi altre domande sui tag

Il mio amico stringe le password con l'algoritmo SHA512 senza sale. Come lo convinco che ha bisogno di aggiungere sale? Può utilizzare questo sistema di sicurezza sui siti Web?