05-11-2009, 12:11
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
הטופס הוא רגיל, למעט זה שהוא נטען מדף https ותוצאתו נשלחת גם היא לדף https
פרוטוקול ssl רק דואג שלא יהיה ניתן לפענח את התעבורה ממחשב הלקוח לשרת במידה והאזינו לה. הוא אינו מאבטח את המידע שעל השרת בשום צורה שהיא.
אחרי שהמידע הגיע אלייך לשרת - הוא צריך להיות מוגן גם שם - כלומר - שאף אחד לא יפרוץ לך לאפליקציה (באגים באפליקציה) או לשרת (באגים בתוכנת השרת או במערכת ההפעלה שלו), או לאפליקציה אחרת באותו שרת שבכלל לא בשליטתך (אחסון משותף), שהרי אז, הפורץ יוכל לקחת את הנתונים השמורים שם, והעובדה שלא היה ניתן להאזין להם בדרך, חסרת משמעות. כמו כן הוא יוכל "לטפל" בקוד שלך כך שעל כל נתון שאתה מקבל, הוא יקבל העתק.
דבר נוסף הוא משיכת הנתונים מהאתר כדי לחייב את הלקוח. אם הם יועברו אלייך, הם חייבים לעשות זאת גם בצורה מוצפנת. עם ssl למשל. לשלוח את הפרטים לאימייל שלך, למשל, פותח אותם להאזנה בדיוק כמו התעבורה המקורית, וכל המשמעות של ה ssl חסרת ערך.
ויש גם את העלות של החזקת תעודת SSL משלך (למרות שאתה יכול ליצור אחת לבד וזה יהיה מאובטח בדיוק באותה מידה, זה יגרום לאזהרה אצל הלקוח שהתעודה "לא נחתמה על ידי גוף אמין", ואתה לא רוצה אזהרות כאלה ללקוחות שלך...)
אחרי שאמרתי את כל זה, שווה לך לבדוק אפשרות שבה החיובים פשוט יבוצעו על ידי גורם צד ג', כגון PayPal, GoogleCheckout, ואחרים...
|