嘿,我想问一下专家。我有一个网站,允许用户通过消息进行交互,注册时您只需输入用户名和密码,验证您的年龄,然后可以选择添加电子邮件。我想确实没有任何敏感信息。值得使用https吗?它会阻止 session 劫持并会影响性能吗?
最佳答案
任何时候您使用用户名/密码时,您绝对应该使用 HTTPS 来保护整个 session 的安全。与用户密码泄露所造成的潜在成本相比,您的成本相当小。研究consistently shows人们对他们访问的几乎每个系统都使用相同的密码。
此外,除了密码泄露的风险之外,还应考虑您的网站是一种通信工具。被冒充会给您的用户带来哪些潜在风险或伤害?是否有人以他们的身份发送恶意消息?
不值得冒这个风险。至少确保传输安全。
关于security - 如果您不进行金融交易,是否值得使用 https?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2547206/