我正在为一个经纪人开发一个网站(JSF 2 + richfaces + oracle 10g),并且我想对你有关于HTTPS的意见(因为我认为这对我来说不是必要的,因为用户不会给任何重要细节)。是否必须使用SSL?
所以:
在我的情况下是否需要使用SSL?
是的,它确实听起来像它。身份验证通常涉及向服务器发送用户名/密码组合。那应该是永不以明文形式完成,所以这个要求本身就会使SSL成为一个好主意。此外,买卖股票听起来像是你想要以安全的方式做的事情。
我甚至都不明白你关心的是什么。拥有受SSL保护的网站并不意味着您必须编写一行代码。这只是购买SSL证书和配置您的Web服务器的问题。
我认为这确实是必要的,因为它涉及真钱。即使用户没有提供任何细节,用户和服务器之间仍然存在中间人攻击,这将使任何人都能够凭借其凭证访问服务器。
如果它不涉及真正的金钱(它没有清楚地写出来),那么你不一定会需要它。
如果用户通过任何敏感的东西(我认为股票交易账户的号码非常敏感),那么在我看来,HTTPS是至关重要的。
我看到你描述的方式,你有一个用户标识自己,然后你基本上通过网络传递关于他/她的帐户的所有信息。绝对保证尽可能。
在没有使用HTTPS或一次性密码系统的情况下,没有“好”的方式来获得身份验证令牌(在您的情况下是密码)。
无论如何,我肯定希望这种类型的访问是HTTPS安全的,否则我可能不会相信它。
因为我担心它会影响带宽。 – mohamida 2010-12-08 15:07:34