Я создал форум phpbb на одном из своих доменов, и, насколько мне известно, на сайте нет SSL-шифрования (я не хочу его покупать, и у сайта нет самозаверяющего сертификата, потому что, когда я получить к нему доступ, я не получаю предупреждений безопасности). Могу я спросить, какое шифрование использует эта система phpbb и безопасно ли запускать это программное обеспечение форума без шифрования?
Какое шифрование использует форум phpbb в домене без SSL?
Ответы (1)
Опасность с phpbb (или чем-либо еще в этом отношении) не в том, используете ли вы сайт с SSL или нет. То, как вы управляете пользовательским вводом, с большей вероятностью может скомпрометировать ваш сайт.
SSL используется ТОЛЬКО для защиты пользовательской информации между клиентом и сервером и для подтверждения того, что сервер соответствует вашим ожиданиям.
Ошибки или ошибки дизайна в phpbb, которые злоумышленники могут использовать для получения контроля над вашим сайтом, — это то, о чем вам следует беспокоиться. SSL не может защитить вас от этого.
Пароли для phpbb должны быть засолены и хешированы в базе данных на случай взлома сайта. Это затруднит злоумышленникам доступ к данным других пользователей.
Я считаю, что сообщения в блогах НЕ зашифрованы в базе данных и, таким образом, будут раскрыты в случае успешной атаки.