Зачем использовать SSL на веб-сайте?
SSL (или TLS) является тем самым маленьким замком, который появился на веб-страницах со времен Netscape 2.0 в 1996 году. Несмотря на общепринятое мнение о том, что SSL нужен только для e-commerce или финансовых веб-сайтов, ничто не мешает получать выгоду от его использования на простых веб-сайтах, в том числе и на вашем Joomla! сайте. Нет необходимости в использовании специальных расширений. Существуют встроенные в Joomla! возможности, воспользоваться которыми вы можете прямо сейчас, таким образом делая более защищенными не только пользователей, но и себя.
Но у меня нет ничего, что можно было бы защитить
Нет, у вас это есть! Одной из самых ценных вещей на любом веб-сайте являются имя пользователя и пароль. Даже если у вас нет пользователей, которые заходят с фронт-энда, вы, безусловно, пользуетесь панелью управления. Если вы не используете SSL, то другие могут выдать себя за вас и украсть «ключи от замка».
Так каков риск?
Когда любой пользователь авторизуется на вашем Joomla! сайте, его имя пользователя и пароль посылаются через Интернет к вашему серверу. Эта часть является очевидной. Не очевидно то, что имя пользователя и пароль могут быть перехвачены где угодно по пути от пользовательского бразузера до беспроводного роутера или провайдера или вашего сервера. И этому всему способствует большая распространенность беспроводного доступа в общественных местах, кафе и ресторанах.
Что можно сделать с доступами моего сайта?
Ну, если вы администратор, то можно сделать что угодно. Кроме того, пользователи часто используют одни и те же данные на нескольких сайтах. И если вы думаете, что данные доступов не так ценны на вашем сайте, то на другом веб-сайте они вполне быть могут таковыми, например на сайте интернет-магазина, хостинговой компании и т.д.
Как этому препятствует SSL?
Все до невероятности просто. В модуле входа Joomla! существует установка "Защищённая форма регистрации". Если у вас на сайте установлен SSL-сертификат, то эта установка заставит бразуер пользователя зашифровать имя пользователя и пароль перед тем, как они будут посланы через интернет к вашему серверу.
Кукисы сессии также уязвимы
Когда пользователь выполняет авторизацию, то в браузере создается специальный сессионный куки (session cookie) для идентификации этого пользователя. Куки передается с каждой загрузкой страницы, поэтому Joomla! знает пользователя, который просматривает страницу. Этот куки предоставляет привилегии на различные действия на веб-сайте.
В то время как куки является меньшей угрозой, так как в конечном счете истекает, неплохо было бы обезопасить и его. Просто используя SSL на всем сайте, куки будет также зашифровано. И опять, защита этого аспекта также проста и заключается в изменении настройки "Включить SSL" в Общих настройках сайта. Установите настройку на 'Весь сайт" или "Только панель управления". Если у вас есть SSL-сертификат, то нет причины выбирать "Нет", вы должны выбрать хотя бы "Только для панели управления". Это предотвратит получение злоумышленником куки доступа к панели управления вашего сайта.
Да ладно, такое вообще возможно?
В 2010 году был выпущен Firefox аддон под названием Firesheep, который может автоматически просканировать беспроводную сеть, показать и использовать сессионные кукисы различных популярных веб-сайтов таких как Facebook, Google и Twitter. Несмотря на то, что такого аддона нет для Joomla сайтов, возможность все равно существует.
Недостатки SSL
Самыми большими недостатками SSL можно назвать денежные затраты и производительность. В зависимости от вашего хостинг-плана SSL-сертификат может обойтись вам от бесплатно до $150 в год. Затраты полностью зависят от того, предоставляет ли ваш хостер бесплатный общий SSL-сертификат, дает ли возможность установить сертификат от другого продавца (порядка $10-$20) или вынуждает вас покупать сертификат у него (до $150).
Если цена допустима для вашего сайта, то единственное с чем придется считаться, это с небольшой потерей производительности. Так как картинки, JS-скрипты и CSS-файлы будут зашифрованы, пользовательский браузер не сможет их закэшировать. А это означает больше запросов к странице. Но, несмотря на это, оно того стоит!
