שלום,
אני רוצה להתחיל למכור משהו דרך האינטרנט ע"י הרשמת כרטיס אשראי וכו'
האם כל מה שצריך לעשות זה לאבטח את השרת ב-ssl?
או שיש עוד משהו?
האם ברגע שעשיתי אבטחת ssl אז פרטי האשראי של אנשים יכולים להשאר בבסיס נתונים שעל השרת בביטחה? והאם הטופס הרשמה של האשראי הוא טופס רגיל?
הקיצר, מה אני אמור לעשות?

תודה.

הטופס הוא רגיל, למעט זה שהוא נטען מדף https ותוצאתו נשלחת גם היא לדף https

פרוטוקול ssl רק דואג שלא יהיה ניתן לפענח את התעבורה ממחשב הלקוח לשרת במידה והאזינו לה. הוא אינו מאבטח את המידע שעל השרת בשום צורה שהיא.

אחרי שהמידע הגיע אלייך לשרת - הוא צריך להיות מוגן גם שם - כלומר - שאף אחד לא יפרוץ לך לאפליקציה (באגים באפליקציה) או לשרת (באגים בתוכנת השרת או במערכת ההפעלה שלו), או לאפליקציה אחרת באותו שרת שבכלל לא בשליטתך (אחסון משותף), שהרי אז, הפורץ יוכל לקחת את הנתונים השמורים שם, והעובדה שלא היה ניתן להאזין להם בדרך, חסרת משמעות. כמו כן הוא יוכל "לטפל" בקוד שלך כך שעל כל נתון שאתה מקבל, הוא יקבל העתק.

דבר נוסף הוא משיכת הנתונים מהאתר כדי לחייב את הלקוח. אם הם יועברו אלייך, הם חייבים לעשות זאת גם בצורה מוצפנת. עם ssl למשל. לשלוח את הפרטים לאימייל שלך, למשל, פותח אותם להאזנה בדיוק כמו התעבורה המקורית, וכל המשמעות של ה ssl חסרת ערך.

ויש גם את העלות של החזקת תעודת SSL משלך (למרות שאתה יכול ליצור אחת לבד וזה יהיה מאובטח בדיוק באותה מידה, זה יגרום לאזהרה אצל הלקוח שהתעודה "לא נחתמה על ידי גוף אמין", ואתה לא רוצה אזהרות כאלה ללקוחות שלך...)

אחרי שאמרתי את כל זה, שווה לך לבדוק אפשרות שבה החיובים פשוט יבוצעו על ידי גורם צד ג', כגון PayPal, GoogleCheckout, ואחרים...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אוקי, יש לי כמה שאלות על מה שאמרת:

1. איך אני עושה דף https?

2. האם אי אפשר לסמוך על שרת משותף שלא יצליחו לפרוץ אליו, אם החברה היא עולמית ומפורסמת?

3. לגבי העברת הנתונים אלי: האם אפשר לעשות דף https שיצרתי שיציג לי את הנתונים כשאני מקיש סיסמא? או פשוט להוריד את קובץ הנתונים ב-ftp ישר אלי למחשב?

4. האם חיובים ע"י צד ג', לדוגמא googlecheckout, מצריכים שהלקוח שקונה יהיה לו חשבון googlecheckout?

סליחה על כמות השאלות, אבל זה מאוד חשוב לי.
ותודה רבה...

1. באירוח משותף תצטרך לבקש מהם + לקנות תעודת SSL + לקנות מהם כתובת IP ייחודית עבור האתר שלך (כי תעודת SSL נשלחת על ידי השרת לפני שהדפדפן אומר לשרת איזה אתר הוא רוצה, וזה מה שמאפשר לחברה לארח מספר אתרים על אותו IP.)

2. אני לא נוהג להתחייב בשמם של אחרים. היו בעיות אבטחה בחברות גדולות למדי, ויש חברות שמשתמשות בטכנולוגיות עם רקורד אבטחה גרוע למדי (למשל, שרתים עם מערכות הפעלה של מיקרוסופט, מה שיהיה לך אם האתר שלך כתוב בדוט נט...)

3. דף עם סיסמא אפשר. הורדה ב FTP ניתנת להאזנה בדיוק כמו HTTP. פרוטוקול FTP אינו מוצפן.

4. לא יודע לגבי גוגל, בפייפל לא חייבים.

נמאס לכם לזכור סיסמאות? לחצו כאן!

תודה רבה, עזרת לי מאוד...