没有SSL证书？

Question

我正在为一个当地教会的小网站工作.该站点需要允许管理员编辑内容并发布新事件/更新.该站点管理的唯一"安全"信息将是管理员的登录信息和带有电话号码和地址的教会目录.

如果我不使用SSL而只是让用户使用直接HTTP登录,我会有多大的风险？通常我甚至不会考虑这个,但它是一个小教堂,他们需要尽可能省钱.

Answer 1

由于只有您的管理员才会使用安全会话,因此只需使用自签名证书即可.这不是最好的用户体验,但最好保证信息的安全.

Answer 2

那么，如果您不使用 SSL，那么您将永远面临着有人试图嗅探您的密码的更高风险。您可能只需要评估您网站的风险因素。

另请记住，即使拥有 SSL 也不能保证您的数据安全。这实际上取决于您如何编码，以确保为您的网站提供额外的保护。

我建议使用单向密码加密算法并以这种方式进行验证。

另外，你可以获得非常便宜的SSL证书，我之前使用过Geotrust并获得了250.00的认证。我确信那里有更便宜的。