27-07-2007, 10:53
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
בתגובה להודעה מספר 1 שנכתבה על ידי Shai שמתחילה ב "עד כמה באמת ניתן לבטוח בטכנולוגיית SSL כשמזינים מספר כרטיס אשראי בטופס?"
SSL אחראית אך ורק על הצפנת end-to-end של הנתונים בין המחשב שלך למחשב של האתר בזמן העברתם.
ל certificate אין שום קשר להצפנה (בשונה ממה שחושבים רבים). כלומר, התקשורת עם אתר שיש לו self-signed certificate מאובטחת בדיוק באותה עוצמה כמו אתר שקנה certificate מחברה מסחרית. ההבדל היחיד הוא, שאין לך אף אחד שיבטיח לך שאתה אכן מוסר את הנתונים אל השרת שאתה חושב שאתה מוסר.
ישנם אלמנטים נוספים הקשורים לאבטחת נתוני אשראי:
1) אחרי שהפרטים הגיעו אל השרת - מה קורה איתם? האם הם עוברים למקום אחר? אם כן, איך? אולי הם נשלחים ב SMTP לא מוצפן אל בעלי החנות, ואז כל ה SSL שלך שווה ל... ?
2) נתונים נשמרים בשרת; מי שולט על השרת? בהכרח בעלי החנות? אולי פרצו לשרת? (בייחוד נכון בארץ, שרוב הישראלים הגאונים משתמשים ב IIS...)
וכך הלאה...
לגביה השאלה "מה היתרון של הטכנולוגיה הזו על טכנולוגיות אחרות" - אתה מכיר טכנולוגיות הצפנה אחרות שקיימות בין הדפדפן לשרת שאתה רוצה להשוות אליהן?
ולבסוף... זה הכל שאלה של הפוטנציאל לחוויה לא נעימה; את מספר כרטיס האשראי שלך יכולים רבים לדעת; זה שקיבל את המספר בפיצריה; עובדי תחנת הדלק; עובד מושחת בחנות שהעביר את הכרטיס שלך פעמיים, פעם מול שב"א, ופעם מול מכשיר שלו, שיקלוט את המספר שלך לשימוש מאוחר יותר... החוק בישראל קובע, שעסקה שלא חתמת עליה, היא מה שנקרא "עסקה במסמך חסר" - אם קיבלת חיוב אשראי, והגורם המחייב לא מספק חתימה שלך - אתה רשאי לבקש מחברת האשראי לבטלה כליל, והם מחוייבים לבצע זאת (כמובן שהם ינסו להערים כמו שיותר קשיים, אבל הם יבטלו בסופו של דבר, אלא אם כן הם רוצים להגיע לבית משפט). אין באמור לעיל משום ייעוץ משפטי, אני לא עורך דין. פנה לעורך דין אם אתה מעוניין לברר את החוק במדוייק.
|