SSL对大多数网站真的重要吗？

对于正在为我正在建立的这个站点（我创建的第一个非平凡的站点）学习“正确地做安全性”，我一直很偏执，而且我注意到有些困扰我的事情：SSL。

在这里，StackOverflow以及其他地方，我已经读了很多安全线程，详细讨论了n次使用后重新生成会话ID的问题，以及如何对密码进行加盐处理，散列处理以及从不以纯文本形式存储密码。我已经阅读了很多有关如何通过跟踪IP地址，用户代理以及使用跟踪cookie来检测会话何时被劫持的信息。

我不明白，当网站通过普通的HTTP POST登录您并以纯文本形式通过网络发送密码时，这有什么重要意义？

我了解我需要使用列出的所有其他方法来降低整体风险，也许有些站点无论如何都不需要那么多的安全性，但是我想我要问的是：

• 什么时候可以不用打扰SSL？

我可以看到Gmail，Gmail，LinkedIn，LinkedIn等网站都有使用SSL的理由，但是Facebook和reddit这样的网站不必理会（地狱，PlentyOfFish甚至将密码存储为纯文本，甚至通过电子邮件发送）提醒您！！！）？

我应该如何确保已设置SSL（特别是因为我要从共享主机启动，并且启动起来非常便宜），该如何处理？如果有帮助，我的网站将不会保存任何特别的个人信息。如果该站点成功，那么我会认真考虑支付额外的费用以增加安全性。

它与您和您的用户认为重要一样重要。通过HTTP以纯文本形式发送密码确实会使它们容易受到数据包嗅探的攻击。现在是否有人真的要去嗅那些数据包又是另一回事了。如果要确保用户获得最安全的体验，请使用SSL进行登录提交。如果您认为您的用户会更快乐，并且更有可能以积极的方式与您的网站互动（例如，购买东西，做东西等），请使用SSL进行登录提交。如果您有任何值得窃取的内容（即用户信息），请使用SSL。

如果您没有值得窃取的东西，不要认为SSL会增强安全性或根本不增强安全性，或者您的用户不会将其视为有用的功能，那么您可能要考虑不使用SSL。

对于安装SSL证书的成本，除非您的预算有限，否则确保网站登录的安全从来不是一件坏事。而且，不要让其他站点的操作对您产生影响，因为许多大型站点都没有必要遵循最佳实践，这就是为什么似乎有源源不断的新闻报导以某种方式受到损害。

采取与约翰回答相反的方法，我认为如果您处理任何个人可识别信息，则应认真考虑SSL- 包括：带有真实地址的名称，电子邮件地址，财务信息以及用户可以合理预期为私人的通信。

除非您的网站为用户提供了一种发布有关自己的信息的方法，否则您应将用户提供的任何可识别个人的信息视为由您所有，并且只有在严格保密的情况下，您才能拥有该信息，除非您的网站的隐私权政策另行通知您。

防止未经授权的第三方看到您的访问者信息，并使您的用户了解您如何使用他们的信息来维护访问者的信任。

据我所知，连Facebook都这样做。

<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form" onsubmit=";var d=document.documentElement;if (d.onsubmit) { return d.onsubmit(event); }else { return Event.fire(d, &quot;submit&quot;, event); }">

（Facebook.com登录HTML源代码）

截至2014年8月，Google已正式表示将使用HTTPS作为排名信号。

这意味着即使您的网站是一个完全静态的网站，如果您关心SEO，则至少应考虑设置SSL证书。

当然，HTTPS只是数百种排名信号之一，因此，对于SEO，您可能需要做更重要的事情。

您可能没有考虑以下角度：即使站点没有登录，不使用SSL / TLS也会使您的用户受到被动监视。

威胁者可能只是坐在您的用户和Internet的其余部分之间，观看用户请求的所有URL并构建用户正在查看的事物的模式。孤立的单个信息确实确实微不足道，但是将大量的少量信息组合在一起可以创建更大的画面。

因此，我在自己的站点上提供HTTPS，该站点仅提供静态内容。