Quanto è importante un certificato SSL per un sito Web interno?

Naviga le tue risposte
2

So che molte persone hanno fatto la stessa domanda, ma penso che dipenda davvero dal tipo di sito web. Ecco perché sto facendo la domanda sul mio sito web.

Sto sviluppando un'applicazione web PHP per una compagnia assicurativa. l'applicazione contiene tutte le informazioni sui clienti, ma questa applicazione viene utilizzata solo dagli amministratori e dai venditori della società. L'amministratore crea un utente quindi quell'utente può aggiungere clienti o rinnovare la propria assicurazione. l'indirizzo sarà qualcosa come example.com/manage/ e il login è solo per gli utenti che l'amministratore ha creato. Ovviamente userò la validazione, il sale, la crittografia, ecc. Ma ho bisogno del certificato SSL?

    
posta Amin Raeisi 02.02.2014 - 12:28
fonte

1 risposta

2

Sì, ogni volta che il traffico viene trasportato su una rete non sicura.

  • L'utilizzo di HTTPS consente di crittografare il traffico. In caso contrario, un utente malintenzionato potrebbe leggere informazioni sui clienti o documenti interni in chiaro ogni volta che vengono trasmessi. E se una password o altri tasti vengono mai trasmessi come testo in chiaro, un utente malintenzionato potrebbe utilizzarli per ottenere un accesso ancora migliore.

  • I certificati SSL possono autenticare un server per un utente che rende man in the middle -attacchi più difficili. In caso contrario, un utente malintenzionato potrebbe configurare un proxy tra l'utente e il server reale e registrare tutte le comunicazioni anche quando sono crittografate.

Considera i seguenti scenari di attacco:

  • Un rappresentante di vendita si connette al tuo sito web mentre è seduto in un coffee shop. Il Wi-Fi è stato compromesso e tutto il traffico di rete è registrato da un hacker malintenzionato. Se non si verifica l'identità del server e si cripta tutto il traffico, l'utente malintenzionato può registrare e utilizzare in modo improprio informazioni riservate o dati sensibili dei clienti, ad es. vendendo i dati a un concorrente.

  • La connessione Internet fisica del tuo ufficio è compromessa. Il tuo sito web è ospitato al di fuori dell'ufficio. Tutte le richieste al server vengono intercettate e reindirizzate a un proxy che registra tutte le informazioni. Segue lo stesso caos di cui sopra.

Questo non è un problema quando il server è accessibile solo tramite una Intranet che è già sufficientemente protetta e crittografata (ad esempio tramite una VPN). Si noti che in alcune giurisdizioni ci sono forti requisiti di privacy quando si gestiscono i dati dei clienti. In caso di violazione senza aver protetto i dati in modo corretto, è possibile che ci si trovi di fronte a un'azione legale.

    
risposta data 02.02.2014 - 12:55
fonte

Leggi altre domande sui tag

Algoritmo per il rilevamento della sovrapposizione tra i vettori Strutture dati del grafico e formato del journal per mini-IDE