J'ai été assez paranoïaque pour apprendre à "bien faire la sécurité" pour ce site que je construis (premier site non trivial que j'ai créé), et j'ai remarqué quelque chose qui me dérange: SSL.
J'ai lu de nombreux threads de sécurité ici, sur StackOverflow et ailleurs, qui parlent longuement de la régénération des identifiants de session après n utilisations et de la façon dont vos mots de passe doivent être salés, hachés et jamais stockés en texte brut. J'ai lu beaucoup de choses sur la façon de détecter lorsqu'une session a été piratée, en suivant les adresses IP, les agents utilisateurs et en utilisant les cookies de suivi.
Ce que je ne comprends pas, c'est ce qui importe lorsque le site Web vous connecte via un POST HTTP normal et envoie votre mot de passe sur le fil en texte brut?
Je comprends que toutes les autres méthodes que j'ai énumérées sont nécessaires pour réduire votre exposition globale, et peut-être qu'il y a des sites qui n'ont tout simplement pas besoin de beaucoup de sécurité de toute façon, mais je suppose que ce que je demande est:
- Quand est-il acceptable de ne pas s'embêter avec SSL?
Des sites comme Gmail, votre banque et LinkedIn, je peux voir qu'il y a une raison d'utiliser SSL, mais ce qui fait que des sites comme Facebook et reddit ne dérangent pas (bon sang, PlentyOfFish stocke même votre mot de passe en texte brut et même par e-mail) à vous chaque semaine pour rappel!?!)?
Dans quelle mesure devrais-je m'inquiéter de m'assurer que SSL est configuré (d'autant plus que je commencerais avec un hôte partagé et que je suis assez bon marché pour commencer)? Mon site ne contiendra aucune information particulièrement personnelle, si cela vous aide. Si le site devient un succès, j'envisagerais sérieusement de payer le supplément pour la sécurité supplémentaire.