Веб-сайт позволяет пользователям регистрироваться (имя, адрес электронной почты и пароль). Работает как форум без электронной коммерции).
Вначале я планировал создать безопасную часть сайта, например. secure.example.com, который будет содержать регистрационную форму и логин. Это хорошая идея или излишество?
Всегда считается лучшей практикой для всех случаев, когда вы собираете информацию, чтобы этот обмен информацией проводился через соединение SSL (защищенное соответствующим сертификатом).
Если вы сделаете это через поддомен своего основного домена или через SSL-версию основного домена, это не повлияет на общую транзакцию, только несколько перенаправлений или нет. Как это работает, по сути, зависит от ваших личных предпочтений и того, как вы хотите, чтобы ваш пользовательский поток через ваше приложение работал.
Для этого вам не нужен субдомен, вы можете просто перенаправить на "https://example.com"для регистрации / входа. Вы можете без проблем иметь один и тот же домен для HTTP и HTTPS.
И да, если вы обрабатываете пароли, вам следует использовать SSL. Вам также понадобится действующий сертификат для вашего домена.
SSL-сертификаты очень важны для шифрования связи между сервером и клиентом, чтобы предотвратить атаки типа «злоумышленник в середине», когда они могут читать или мешать обмену данными. Это также помогает укрепить доверие между конечным пользователем и веб-сайтом, который они используют, многие пользователи теперь знакомы с расширенными сертификатами SSL, которые превращают адресную строку (или ее часть) в зеленый цвет. Эти расширенные сертификаты SSL обычно требуют дополнительных проверок со стороны центров сертификации (ЦС), прежде чем они выдадут вам сертификат. Однако это очень дорого, и я недавно получил сертификат Geotrust SSL с хорошим шифрованием всего за 67 фунтов стерлингов (около 100 долларов США на момент написания).
Не забывайте, что пользователи часто повторно используют свой адрес электронной почты и пароль на нескольких сайтах, и хотя ваш веб-сайт может не содержать никакой конфиденциальной информации без сертификата SSL, вы подвергаете своих пользователей риску, если не используете шифрование SSL, поскольку злоумышленник может скомпрометируйте JoeBlogs и войдите в их Gmail / PayPal / что угодно. Если у вас буквально нет денег на сертификат SSL, выпущенный органом, вы можете самостоятельно подписать сертификат, это вызовет предупреждение для ваших пользователей, но, по крайней мере, если они согласятся, сообщение будет зашифровано!
С вопросом о шифровании только некоторых частей сайта вы должны быть осторожны ... Недавно я установил, что один из моих сайтов посвящен SSL, включая передачу файлов cookie по SSL. В противном случае для злоумышленника технически возможно захватить сеанс пользователя, когда он использует HTTP-часть сайта.
SSL дешевый.
Судебные иски могут стоить вам миллионы.
Есть простой выбор.
Просто сделайте весь сайт безопасным и не беспокойтесь о материалах secure.xxx, с технической точки зрения в этом нет особого смысла, если только это не будет явно обрабатываться другим сервером.
Серьезно, вы можете приобрести подходящий SSL-сертификат примерно за 12 долларов у различных реселлеров RapidSSL. Вы защищаете не только имя пользователя / данные для входа, но и любую информацию о сеансе HTTP, хранящуюся в файле cookie, поскольку транзакции файлов cookie также будут зашифрованы с помощью SSL.