Estoy creando un sitio web de Django que no necesita tener registro / autenticación.
La única parte sensible es un formulario con un reCaptcha v2. Por supuesto, estoy incrustando el token CSRF, que luego leo con Javascript y lo envío con solicitudes Ajax.
¿Se necesita HTTPS en este caso? Estoy algo confundido, ya que por lo que sé, el token solo se puede usar una vez.
¿Se necesita HTTPS en este caso?
En todos los casos en que pueda pensar en HTTPS es beneficioso.
El caso trivial es si no tiene sesiones, ¿por qué necesitaría una conexión segura si no hay sesiones y todo es público? Tener una conexión segura realmente ayuda su Google PageRank , y también ayuda al usuario a sentirse más seguro al visitar su sitio
Sirealmentetienesesionesycontenidodinámico,losbeneficiosson,porsupuesto,mássustanciales.
UnaformafácildeimplementarcertificadosSSL/TLSesmediante
¿Cuál es el contenido de su sitio web?
¿Es algo a lo que cualquier persona en cualquier lugar del mundo pueda querer acceder sin que otras personas lo sepan (gobiernos, mercadólogos, fisgones en la misma red wifi)? Recuerde que lo que podría ser perfectamente aceptable ver en su cultura podría no ser aceptable en otros lugares (como opiniones sobre política, sexualidad o religión). HTTPS protege la privacidad de sus usuarios.
Además, HTTPS lo protege de cualquier atacante MITM que falsifique su contenido. Sin HTTPS, cualquier intermediario puede cambiar o inyectar contenido de su sitio web, como publicidad adicional en el mejor de los casos y malware o información errónea en su nombre en el peor de los casos. HTTPS te protege a ti y a tus usuarios de eso.
En esta época, no necesita una buena razón para usar el cifrado, necesita una buena razón para no hacerlo. Y no, el rendimiento no suele ser una buena razón: gracias al cifrado acelerado por hardware, la tensión de procesamiento adicional en su servidor suele ser insignificante.