Sto costruendo un sito Web Django che non ha bisogno di registrazione / autenticazione.
L'unica parte sensibile è un modulo con un reCaptcha v2. Ovviamente sto incorporando il token CSRF, che poi ho letto con Javascript e lo invio con le richieste Ajax.
In questo caso è necessario HTTPS? Sono un po 'confuso, dal momento che so che il token può essere usato una sola volta.
Is HTTPS needed in this case?
In ogni caso, posso pensare che HTTPS sia utile.
Il caso banale è che se non hai sessioni, perché dovresti avere una connessione sicura se non ci sono sessioni e tutto è pubblico? Avere una connessione sicura in realtà aiuta il tuo PageRank di Google , e inoltre aiuta l'utente a sentirsi più sicuro visitando il tuo sito
Sehaieffettivamentesessioniecontenutidinamici,ivantaggisonoovviamentepiùsostanziosi.
UnmodosempliceperimplementareicertificatiSSL/TLSèutilizzare
Qual è il contenuto del tuo sito web?
C'è qualcosa che chiunque in qualsiasi parte del mondo potrebbe desiderare di accedere senza che altre persone ne siano a conoscenza (governi, marketer, ficcanaso sulla stessa rete wifi)? Ricorda che ciò che potrebbe essere perfettamente accettabile da vedere nella tua cultura potrebbe non essere accettabile altrove (come le opinioni su politica, sessualità o religione). HTTPS protegge la privacy dei tuoi utenti.
Inoltre, HTTPS ti protegge da eventuali aggressori MITM che falsificano i tuoi contenuti. Senza HTTPS, qualsiasi intermediario può modificare o iniettare contenuto del tuo sito web, come pubblicità aggiuntiva nel migliore dei casi e malware o disinformazione nel tuo nome nel peggiore dei casi. HTTPS protegge te e i tuoi utenti da questo.
In questo giorno ed età, non è necessario un buon motivo per utilizzare la crittografia, è necessario un buon motivo per non farlo. E no, le prestazioni di solito non sono un buon motivo: grazie alla crittografia con accelerazione hardware, il carico di elaborazione aggiuntivo sul server è generalmente trascurabile.