该网站允许用户注册(姓名,电子邮件和密码)。 它就像一个论坛,没有涉及电子商务)。
我最初的计划是要有一个安全的网站的一部分,例如。 secure.example.com这将举行registry格和login。 这是一个好主意还是矫枉过正?
在您收集信息的所有场合中,始终认为这是最佳做法,要通过SSL连接进行信息交换(使用适当的证书进行保护)。
如果您通过主域名的子域名执行此操作,或者通过您的主域名的SSL版本在整个交易中执行任何操作,则只需执行一些redirect操作。 它的工作原理基本上取决于您的个人偏好,以及您希望用户如何通过应用程序来运行。
你不需要子域名,你可以redirect到“ https://example.com ”进行注册/login。 您可以在没有任何问题的情况下为HTTP和HTTPS提供相同的域。
是的,如果你处理密码,你应该使用SSL。 您还需要有效的域名证书。
对于encryption服务器和客户端之间的通信来说,SSL证书非常重要,以防止他们可以读取或干扰通信的中间人(man-in-the-middle)攻击。 它还有助于在最终用户和他们正在使用的网站之间build立信任关系,许多用户现在已经熟悉增强型SSL证书,这将使地址栏(或其一部分)变成绿色。 这些增强的SSL证书通常需要由证书颁发机构(CA)进行额外的检查,然后才能授予您证书。 然而,这些都是非常昂贵的,我最近拿到了Geotrust SSL证书,只有67英镑(在写作时大概是100美元)。
不要忘记,用户通常会在多个站点上重复使用他们的电子邮件地址和密码,尽pipe您的网站在没有SSL证书的情况下可能不包含任何机密信息,但是如果您不使用SSLencryption作为攻击者,妥协JoeBlogs并login到他们的Gmail /贝宝/无论。 如果你真的没有资格获得授权的SSL证书,那么你可以自己签署一个证书,这会为你的用户产生一个警告,但至less如果他们同意通信将被encryption!
在只encryption网站的某些部分的问题,你必须小心…我最近保证我的网站之一专用于SSL,包括通过SSL传输Cookie。 否则,在攻击者使用站点的HTTP部分时,在技术上可以接pipe用户会话。
SSL很便宜。
诉讼可能花费你数百万美元。
有一个简单的select。
只是使整个网站的安全,并不打扰secure.xxx的东西,从技术的angular度来看,没有什么意义,除非这将被明确处理不同的服务器。
严重的是,你可以从各种rapidssl经销商拿到一个合适的SSL证书,价格为12美元。 您不仅可以保护用户名/login信息,还可以保存存储在cookie中的HTTP会话信息,因为cookie事务也将被SSLencryption。