¿Debe un sitio tener SSL si no tiene un formulario de inicio de sesión?

21

Tenemos un sitio en el trabajo que se usa para lo siguiente:

  1. Nuestra página de inicio, que es solo una información e información de contacto.
  2. Las solicitudes de empleo también se manejan en nuestro sitio.

No hay un lugar donde puedas iniciar sesión.

Le dije a la gerencia, ya que somos una empresa que hacemos ingeniería de software, daría una mejor impresión a los clientes potenciales si nuestro sitio tuviera un certificado SSL y si aplicáramos SSL automáticamente en el navegador de cualquiera que visite el sitio.

Además, a pesar de que usamos Gmail comercial de Google, también usamos el mismo nombre de dominio para nuestro sitio web que el correo electrónico. En otras palabras, user@company.com y nuestro sitio es company.com. En otras palabras, los clientes potenciales también tendrían una mala impresión si se dieran cuenta de que no tenemos un certificado SSL, ya que pensarían que nuestro servidor de correo electrónico no está enviando a través de TLS.

¿Deberíamos tener un certificado SSL aunque no se enviarán o recuperarán datos "confidenciales" o "importantes" que deban cifrarse desde nuestro sitio?

    
pregunta MyMichelle 12.07.2013 - 15:25
fuente

8 respuestas

30

Se trata de lo que intenta lograr y / o mitigar con el uso de SSL. Las personas aleatorias en Internet no pueden evaluar la información de su empresa. Por lo tanto, debe tener esto en cuenta: todo depende del riesgo, la probabilidad del riesgo y la medida en que usted iría para mitigar ese riesgo.

@apsillers presenta un buen punto acerca de sus formularios de solicitud de trabajo, ya que los posibles candidatos enviarán información personal con el Confianza en que irán al destinatario previsto. También estoy de acuerdo con el punto sobre la apariencia de un sitio web seguro y una actitud más profesional al enviar ese candado a un cliente potencial, especialmente si su compañía de TI ofrece consulta de seguridad, entonces podría ser una buena idea utilizar HTTPS.

Personalmente, siempre me inclino por utilizar HTTPS, incluso para un sitio web de Hello Kitty.

    
respondido por el Adi 12.07.2013 - 15:57
fuente
21

El hecho de que su sitio web pueda tener formularios de solicitud de empleo es una razón suficiente para tener SSL. En particular, los usuarios esperan para ingresar cierta información personal en su sitio web, pero no saben exactamente qué información.

Dejar que un intruso escuche el contenido de una solicitud de trabajo es malo, pero empeora. Incluso si su formulario de solicitud no tiene información tremendamente confidencial (nombre, dirección, información de currículum vitae público), un atacante activo podría reescribir su formulario para hacerlo sustancialmente más completo. Tal vez no solicite un número de seguro social en su formulario, pero sus usuarios no lo saben. Podrían estar perfectamente contentos de completar un formulario modificado por el atacante con solicitudes de datos un poco más intrusivas.

Si no maneja las aplicaciones directamente en su sitio, pero solo proporciona un número de contacto para su departamento de recursos humanos, eso también es bastante malo: un atacante podría reescribir fácilmente su información de contacto a su número de teléfono celular y tomar la información personal de la víctima. sobre el telefono. (Por supuesto, la eliminación de SSL puede hacer que el SSL sea menos útil aquí. Mientras que un usuario puede obstaculizar el envío de información personal a través de una conexión no segura, incluso un usuario razonablemente polémico podría no pensar dos veces antes de aceptar un número de teléfono provisto a través de una conexión no segura. Eliminación de SSL mediante el uso de HTTP Strict Transport Security , que le dice al navegador del usuario que nunca acepte conexiones inseguras de una fuente en particular.)

En resumen, la información confidencial funciona en ambos sentidos:

  • Cualquier información confidencial que envíen a su sitio debe estar encriptada. La "información confidencial" puede incluir formularios de inicio de sesión y cookies de sesión, pero también puede incluir información personal o incluso las páginas que eligen solicitar desde su sitio. (Por ejemplo, busque recursos de ayuda tributaria de la El IRS para temas delicados en particular podría revelar información sobre grandes compras recientes, eventos importantes de la vida, etc.)

  • Cualquier información que su sitio envíe a sus usuarios debe estar encriptada, si pudiera haber un daño significativo por la alteración de esa información. En particular, dar a los atacantes la capacidad de volver a escribir números de contacto es un riesgo importante, como se describe anteriormente. Quizás el único caso en el que este requisito no se aplique es si su sitio web no contiene información valiosa y es poco probable que el usuario sea engañado y piense que debería hacerlo.

respondido por el apsillers 12.07.2013 - 16:16
fuente
17

SSL proporciona varios beneficios, no solo la privacidad de los datos. Al presentar un certificado SSL debidamente firmado, hay algunas garantías de que el servidor al que se conectan sus clientes realmente es suyo (supongamos que las entidades emisoras de certificados no son negligentes).

SSL proporciona integridad de datos. Para cada cadena de texto, papel blanco, imagen, parche, lo que sea, el usuario puede tener cierta seguridad de que la información que ven es realmente lo que está presentando (supongamos que su servidor no ha sido pirateado).

El identificador visual de una sesión SSL en su navegador proporciona un indicador de nivel de relaciones públicas que su compañía toma en serio. Que quieran que su mensaje sea escuchado correctamente. Existe la implicación de que la empresa también será igual de cuidadosa con los datos de sus clientes.

Si bien es obvio que cualquier sitio web que acepte información confidencial debe debe estar cifrado, existen otros beneficios que pueden hacer que valga la pena.

Personalmente, creo que la encriptación SSL es lo suficientemente barata, en este punto que casi no hay razón para que no lo active de forma predeterminada. Al menos entonces, si cambia su modelo de negocio y comienza a tomar información en línea, no tendrá que modernizar nada.

    
respondido por el Scott Pack 12.07.2013 - 20:00
fuente
9

Soy un fan de SSL en todas partes. Es posible que no esté transmitiendo nada que pueda ser sensible ahora, pero nunca se sabe si eso podría cambiar.

En mi opinión, realmente no hay ninguna buena razón para NO usar SSL.

Con respecto a los comentarios a continuación sobre certificados SSL gratuitos, la EFF ha lanzado su programa Let's Encrypt , que proporciona certificados SSL de confianza y gratuitos.

    
respondido por el Casey 12.07.2013 - 19:13
fuente
4

Sí, su sitio debe tener SSL.

  • SSL y sus certificados no son muy caros en este momento. Seguro que PUEDES comprar certificados muy caros, pero el nivel de entrada es bastante bajo
  • Usted está recopilando información personal del lado del cliente y la está transmitiendo al servidor (¿por qué debería alguien en el medio estar al tanto de eso?)

Su valor predeterminado debería ser "SSL" a menos que tenga una razón sólida de lo contrario (por ejemplo: no se devolverán los datos del cliente, cualquier información entre el servidor y el cliente estaría bien si se publicara en la página principal del New York Times, etc.)

    
respondido por el DeepSpace101 13.07.2013 - 22:29
fuente
2

Hay una gran idea errónea de que SSL es algún tipo de firewall o algo así, simplemente no es cierto. SSL es para protegerlo de ataques Man-in-the-middle o si el tráfico de la puerta de enlace se supervisa cuando el host o el cliente envían información confidencial.

Los mayores riesgos que tiene son:

  • La información de su sitio parece estar modificada si la conexión del cliente se ve comprometida
  • Los clientes vuelven a ser interceptados
  • Recepción del currículum del cliente modificado

No veo esto como un problema tuyo.

SSL no detiene los ataques de inyección o XSS, la buena programación lo hace.

    
respondido por el dprogramz 12.07.2013 - 18:22
fuente
2

No solo debería implementar HTTPS, sino que también debería estar activado de forma predeterminada. Esto me recuerda una cita de la EFF que decía algo así: "en un mundo ideal, cada solicitud web se enviaría a través de SSL / TLS". La seguridad y la privacidad deberían estar activadas de forma predeterminada. No puede ser opcional. Y para que la privacidad no sea sospechosa, todos deben hacer su parte. Como ya han dicho otros, estás adquiriendo datos confidenciales (información personal), así que ten en cuenta a tus usuarios.

    
respondido por el Python Novice 11.04.2014 - 07:26
fuente
-2

No creo que tenga sentido tener uno si no transfieres ninguna información confidencial sobre él. Además, si se encuentra en un punto en el que las personas entiendan el correo electrónico seguro, también entenderán que los mecanismos del sitio y los mecanismos del correo electrónico pueden ser muy diferentes. No espero que nadie lo note, honestamente.

    
respondido por el Paarth 12.07.2013 - 15:32
fuente

Lea otras preguntas en las etiquetas