我为什么要使用 ssl？

Question

我正在运行一个约会网站，目前没有使用 SSL。

我注意到像 facebook 和 twitter 这样的主要网站不使用 https 进行登录，而只是使用普通的旧 http，https-ing 我的网站真的有什么优势吗？或者它仅用于抄送交易等等？

提前致谢。

Answer 1

实际上，Facebook 确实使用 https 进行登录：

<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form">

Twitter 也是如此：

<form method="post" id="signin" action="https://twitter.com/sessions">

您会注意到他们在显示登录表单的页面上不使用 https。那是因为没有必要。

但是，如果可以的话，最好使用 ssl 登录本身，因为很多用户对所有站点都使用相同的密码。

我希望看到更多站点采用一种解决方案，即使用 OpenID/OAuth 进行登录，而不需要用户名/密码。

Answer 2

SSL 对浏览器和服务器之间的流量进行加密。因此，几乎任何您想要保证安全的东西都需要进行 ssl 加密。谷歌搜索甚至这样做了，这样人们的搜索词就不会被拦截。

这只是您想要安全的情况，如果您网站的某些部分不安全，就会让想要的客户望而却步。我认为约会网站上有很多个人人口统计信息，有些人可能希望保护这些信息……只是我的 2 美分。

Answer 3

SSL 仅在浏览器和服务器之间传输敏感数据时使用。像facebook、twitter这样的大网站使用http就可以了（只要数据不敏感）。大多数网站的登录页面都使用 SSL。支付网关还使用 SSL 通过线路安全地传输支付信息。

顺便说一句，http 并不是“普通的旧”，https 也不是新趋势:)

Answer 4

如果您的用户提供任何敏感数据，ssl 可防止其被第三方拦截。如果您不使用 SSL，您应该假设某个第三方可以看到您的每个用户在您的网站上所做的一切。如果您对他们看到此信息感到满意，则将其保留为纯 http，但如果您不喜欢这种想法，请使用 https。

ssl 的另一个好处是它允许使用严格传输安全，这不仅在所有站点活动上强制使用 https，而且还可以防止中间人向用户欺骗您的站点，让他们认为他们正在访问您的站点。详细信息请参见：http://en.wikipedia.org/wiki/Strict_Transport_Security

Answer 5

我在一家大型 ISP 工作，并且很迷恋你们的一位在线会员。通过嗅探你的数据包，我可以找出她与另一个成员会面的时间和地点，重写数据包以更改位置，这样另一个人就不会出现，然后采取行动。

您决定您的用户是否可以接受。

Answer 6

https 对于保护凭证（用户/密码）很有用，但它会增加网络负载并需要更多 CPU 资源（加密）。因此，通常仅用于身份验证。
https，带有服务器证书，再次保护网络钓鱼。

银行使用端到端应用程序