He sido bastante paranoico sobre aprender a "hacer la seguridad correctamente" para este sitio que estoy construyendo (primer sitio no trivial que hice), y he notado algo que me molesta: SSL.
He leído muchos subprocesos de seguridad aquí, en StackOverflow y en otros lugares que tratan extensamente sobre la regeneración de identificadores de sesión después de n usos, y cómo sus contraseñas deben ser saladas, procesadas y nunca almacenadas en texto sin formato. He leído mucho sobre cómo detectar cuándo se ha secuestrado una sesión, rastreando direcciones IP, agentes de usuario y usando cookies de rastreo.
Lo que no entiendo es lo que importa cuando el sitio web lo conecta a través de una POST HTTP normal y envía su contraseña por cable en texto sin formato.
Entiendo que todos los otros métodos que enumeré son necesarios para reducir su exposición general, y tal vez hay algunos sitios que simplemente no necesitan tanta seguridad de todos modos, pero supongo que lo que estoy preguntando es:
- ¿Cuándo está bien no molestarse con SSL?
En sitios como Gmail, su banco y LinkedIn, puedo ver que tengo una razón para usar SSL, pero lo que hace que esté bien que sitios como Facebook y Reddit no molesten (diablos, PlentyOfFish incluso almacena su contraseña en texto plano e incluso la envía por correo electrónico). a usted semanalmente como recordatorio!?!)
¿Qué tan preocupado debería estar por asegurarme de que SSL esté configurado (especialmente porque estaría comenzando con un host compartido y estoy siendo bastante barato para comenzar)? Mi sitio no contendrá ninguna información particularmente personal, si eso ayuda. Si el sitio se convierte en un éxito, consideraría seriamente pagar el extra por la seguridad adicional.