¿Está bien solo asegurar (usando SSL) la página de inicio de sesión, pero no el resto del sitio? [duplicar]

Navega tus respuestas
4

Estoy creando un CMS / MySQL CMS personalizado para un cliente (porque Wordpress es una exageración para las necesidades particulares de este cliente). Ahora, sé que este cliente usa una ubicación pública de wi-fi bastante, así que aquí está la pregunta.

Supongamos que el CMS se encuentra en enlace y la página de inicio de sesión se encuentra en enlace

¿Tiene sentido cifrar solo la página de inicio de sesión, es decir? Entonces, una vez que el usuario se autentique y vaya a otra página, digamos contacto, se vería como enlace (no httpS en este caso) .

¿Es posible que un rastreador de paquetes (o cualquier otra herramienta) detecte las credenciales de inicio de sesión una vez que el usuario haya iniciado sesión? Para reformular la pregunta, ¿es suficiente para proteger solo la página de inicio de sesión?

No soy un tipo de red, por lo que no estoy seguro de qué datos se transmiten a través de un wi-fi público visto desde una herramienta de rastreo y qué no.

    
pregunta JohnJ 30.08.2012 - 19:48
fuente

2 respuestas

6

Esa es realmente una pregunta basada en las necesidades de su sitio y sus usuarios. SSL proporciona dos servicios principales. Por un lado, valida la identidad del servidor al que el usuario se está conectando para el usuario. También protege la transmisión de información confidencial del usuario al servidor.

Si la mayoría de su sitio no es sensible si está falsificado y no requiere que el usuario transmita información confidencial, entonces no hay razón para que sea necesario usar SSL en el resto de su sitio. Vale la pena señalar que si el usuario accede al sitio a través de una página sin protección SSL, es posible que alguien se interponga entre el usuario y el sitio web y secuestre la sesión, por lo que la identidad de un usuario registrado generalmente no debería ser confiable fuera de una conexión SSL, pero esto tampoco es siempre un problema, dependiendo de sus necesidades de seguridad.

En cuanto a su pregunta acerca de cuándo se transmiten las credenciales, siempre que su sitio esté configurado correctamente, una vez que la sesión esté asociada a un usuario, las credenciales no deberían ser retransmitidas de forma clara. Los detalles exactos de cómo se mantiene la sesión dependerán de qué enfoque se esté utilizando, pero la mayoría generará algún tipo de identificador único o de token en la autenticación y lo transmitirá. El identificador se vuelve inválido cuando la sesión expira.

    
respondido por el AJ Henderson 30.08.2012 - 20:27
fuente
2

Sobre la base de la respuesta de AJ anterior: si no está cifrando la conexión, cualquier dato enviado de un lado a otro queda expuesto. ¿Tiene información confidencial como inicios de sesión, nombres de usuario, hashes, información de identificación personal (PII) u otra información en las cookies o que se envía a través de POST o GET, qué sucede con AJAX?

Si su sitio no va a experimentar un gran impacto en el rendimiento y no está segregado de tal manera que necesita obtener certificados SSL adicionales, también puede utilizar SSL.

También recomendaría cifrar un formulario de contacto. Conozco muchas empresas que tienen clientes que piensan que un formulario de contacto es un excelente lugar para enviarles números de tarjetas de crédito, números de cuenta y todo tipo de datos personales o información confidencial. Hay más para proteger que solo credenciales; en última instancia, desea obtener credenciales para poder acceder a otra información valiosa.

    
respondido por el Eric G 30.08.2012 - 20:51
fuente

Lea otras preguntas en las etiquetas

¿Authenticode aún funciona sin conexión y con un certificado "falso" Apple FileVault: ¿construiría Apple una puerta trasera?