SSLはほとんどのWebサイトにとって本当に重要ですか？

私が構築しているこのサイト（私が作成した最初の重要なサイト）に対して「セキュリティを正しく行う」ことを学ぶことにかなり偏執的で、気になることがあることに気づきました：SSL。

ここ、StackOverflow、およびnを使用した後にセッションIDを再生成すること、およびパスワードをソルト、ハッシュしてプレーンテキストに保存しない方法について詳しく説明しているセキュリティスレッドをたくさん読みました。IPアドレスやユーザーエージェントを追跡したり、追跡Cookieを使用したりして、セッションが乗っ取られたことを検出する方法については、たくさん読んだことがあります。

私が理解していないのは、ウェブサイトが通常のHTTP POSTを介してログインし、プレーンテキストでネットワーク経由でパスワードを送信するときに問題になることです。

私がリストアップした他のすべての方法があなたの全体的な露出を減らすために必要であることを理解しています、そしてとにかくそれほど多くのセキュリティを必要としないいくつかのサイトがあるかもしれませんが、私が求めているものは次のとおりです：

• SSLに煩わされなくても大丈夫なのはいつですか？

Gmail、あなたの銀行、LinkedInのようなサイト、SSLを使用する理由があるのはわかりますが、Facebookやredditなどのサイトが煩わしくなくても問題ありません（地獄、PlentyOfFishはパスワードをプレーンテキストで保存し、メールで送信することさえします）リマインダーとして毎週あなたに！？！）？

SSLが設定されていることをどの程度気にする必要がありますか（特に、共有ホストから始めて、かなり安く始められるため）。私のサイトは、それが役立つ場合、特に個人情報を保持しません。サイトが成功した場合、私は真剣に追加のセキュリティのために余分に支払うことを検討します。

それはあなたとあなたのユーザーがそれを重要だと考えるのと同じくらい重要です。プレーンテキストとしてhttp経由でパスワードを送信すると、パケットスニッフィングに対して脆弱になります。誰かが実際にこれらのパケットをスニッフィングしようとするかどうかは、まったく別の話です。ユーザーに可能な限り最も安全なエクスペリエンスを保証したい場合は、ログイン送信にSSLを使用します。ユーザーがより幸せになり、ポジティブな方法でWebサイトとやり取りする可能性が高い（つまり、何かを購入する、何かをする）と思われる場合は、ログイン送信にSSLを使用します。盗む価値のあるものがあれば（つまりユーザー情報）、SSLを使用します。

盗む価値のあるものが何もない場合、SSLがセキュリティを大幅にまたはまったく強化しないと考えてください。または、ユーザーがSSLを有用な機能と見なさない場合は、SSLを使用しないことを検討してください。

SSL証明書をインストールするのにかかる費用については、予算に余裕がない限り、サイトのログインを保護することは決して悪いことではありません。そして、他のサイトが何をしているかに影響を与えないでください。大規模なサイトの多くはベストプラクティスに従う必要がないためです。

ジョンの答えとは逆のアプローチをとります。個人を特定できる情報を扱う場合は、SSLを真剣に検討する必要があると思います。たとえば、物理アドレス、電子メールアドレス、財務情報、およびユーザーが非公開であると合理的に期待するコミュニケーションの名前。

サイトがユーザー自身の情報を公開する手段を提供していない限り、サイトのプライバシーポリシーがユーザーに通知しない限り、ユーザーが提供する個人を特定できる情報はすべてあなたが保持しているものとみなし、厳格な信頼の下にのみ置く必要があります。

不正な第三者が訪問者の情報を見るのを防ぎ、訪問者の信頼を維持するために情報をどのように使用するかをユーザーに通知し続けます。

私の知る限り、Facebookでもこれを行います。

<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form" onsubmit=";var d=document.documentElement;if (d.onsubmit) { return d.onsubmit(event); }else { return Event.fire(d, &quot;submit&quot;, event); }">

（Facebook.comログインHTMLソース）

2014年8月の時点で、Googleは HTTPSがランキング信号として使用されることを正式に示しています。

つまり、Webサイトが完全に静的なWebサイトであっても、SEOに関心がある場合は、少なくともSSL証明書の設定を検討する必要があります。

もちろん、HTTPSは数百のランキング信号の1つにすぎないため、SEOのためにできることはおそらくもっと重要です。

SSL / TLSを使用しないと、サイトにログインがない場合でも、ユーザーをパッシブモニタリングにさらす可能性があります。

攻撃者は、ユーザーとインターネットの他の部分の間に座って、ユーザーが要求するすべてのURLを監視し、ユーザーが表示しているもののパターンを構築する可能性があります。個々の情報のビットは、実際には単独では重要ではないかもしれませんが、多くの小さな情報を組み合わせると、はるかに大きな画像を作成できます。

このため、静的コンテンツのみを提供する自分のサイトでHTTPSを提供しています。