È obbligatorio avere https sul sito di e-commerce?

10

Ho visto che alcuni script di e-commerce possono anche essere eseguiti senza ssl, ma tutti consigliano di attivarlo per proteggere i dati riservati.

Ho appena visto un sito che ha un link di e-shop, se clicco il mio browser dice che il certificato di sicurezza non è affidabile, e infatti se clicco su "continua al sito" passa a http.

È obbligatorio attivare ssl in un negozio?

    
posta Harlandraka 05.04.2013 - 13:03
fonte

7 risposte

25

Se non utilizzi HTTPS, ma semplicemente HTTP, quindi:

  • verrai hackerato; i numeri delle carte di credito verranno rubati mentre sono in transito, e i clienti ti citeranno in oblio.
  • Saresti comunque hackerato ad un certo punto, questo è il numero di siti Web. Anche se l'hacker è entrato in un altro modo, l'analisi post-mortem mostrerà la mancanza di SSL, e questo sembrerà davvero pessimo.
  • Perderai i clienti . Molti potenziali clienti non inseriranno il loro numero di carta di credito, per mancanza dell'immagine rassicurante del lucchetto; preferiranno invece fare acquisti sul sito Web di un concorrente.

Quindi non hai mandato dalla legge per utilizzare HTTPS, ma se non lo fai, la tua attività fallirà. La competizione commerciale aperta è molto simile alla selezione darwiniana: i deboli muoiono.

Modifica: @ Il commento di XzKto mostra che non sono stato completamente chiaro: il bit SSL è necessario per la transazione effettiva, quando i valori bancari (ad esempio i numeri delle carte di credito) viaggiano su Internet. Questo è quello di cui sto parlando. Se il sito registra i dettagli del pagamento (in modo che tu possa tornare indietro e riacquistare senza reinserire il numero della carta di credito), il pulsante "Compralo subito" deve inoltre essere protetto da SSL (per evitare che un utente "clicchi" su di esso nel tuo nome). Il resto del sito non deve necessariamente essere protetto da SSL, sebbene l'SSL del sito sia ancora spesso una buona idea (è molto più semplice che cercare di capire quali parti del sito devono essere protette e quali parti possono essere lasciate fuori ).

    
risposta data 05.04.2013 - 13:34
fonte
6

Andrò avanti e lo dirò. Sì, è obbligatorio utilizzare SSL con un sito di e-commerce .

Mentre nessuno ti segue davvero con un'ascia per decapitarti se non usi SSL, l'utilizzo di SSL per siti come l'e-commerce è cruciale . Quindi è obbligatorio, nel senso che avrai molti problemi quando gli account dei tuoi clienti vengono rubati o quando qualcuno inizia a manipolare le sessioni dei tuoi clienti.

Perché dovresti usare SSL con un sito web di e-commerce?

  1. Proteggi le informazioni di accesso dei tuoi clienti.
  2. Proteggi le sessioni dei tuoi clienti dall'essere dirottati (i cookie verranno inviati in chiaro).
  3. Proteggi i tuoi clienti dall'essere portati in un sito web completamente diverso ( spoofing DNS ).
risposta data 05.04.2013 - 13:29
fonte
5

Se non disponi di informazioni sull'account e gestisci i dati della carta di credito attraverso un gateway di pagamento, allora no, non è obbligatorio. È possibile eseguire un sito di e-commerce in modo sicuro senza HTTPS se si sa cosa si sta facendo e si passa a una serie di cerchi speciali. (Nessun nome utente / password, elaborare il pagamento fuori sede tramite un gateway di pagamento o Paypal, utilizzare i codici ordine per il tracciamento, ecc.). In questo caso, tutto ciò che farai è fare in modo che le persone mettano insieme un elenco di elementi e invii quella lista (o il totale) a un servizio sicuro per gestire i bit sensibili e inviano un token come ricevuta.

Detto questo, perché vorresti avere i mal di testa? È molto meno probabile che le persone si fidino del tuo sito anche se lo hai impostato correttamente per evitare tutte le possibili insidie di non avere HTTPS. È molto più facile fare con HTTPS e vale la pena utilizzare un certificato SSL autofirmato o economico. È possibile ottenere certificati SSL a basso costo di $ 60 per due anni (e forse più economico). Non c'è davvero nessuna buona ragione per non usare SSL (HTTPS).

Si noti inoltre che per gestire i dettagli della carta di credito, è generalmente obbligatorio utilizzare SSL per lo scambio come parte del contratto di servizio mercantile. Più in particolare, se si tocca, si gestisce, si lavora o si memorizzano i dati della carta di pagamento (PCI), il contratto di servizio mercantile richiederà quasi certamente di seguire PCI-DSS. Questa è una grande parte del motivo per cui anche i front store che usano SSL possono spesso optare per l'utilizzo di un gateway di pagamento per gestire i dati della carta di credito in modo che non debbano preoccuparsi dei punti più fini di PCI-DSS.

    
risposta data 05.04.2013 - 15:10
fonte
4

Non è "obbligatorio": nessuno sta forzando i siti.

Ma è consigliabile. Anche se la home page / etc 1 non deve essere su una connessione HTTPS, dovrebbero essere tutte le pagine che hanno moduli e quelli che mostrano dati sensibili. Ad esempio, è perfettamente OK per un sito che ti consente di acquistare su HTTP, ma ti reindirizzerà a HTTPS per il pagamento.

Prova a mantenere HTTPS per tutte le pagine dopo un accesso per evitare anche il dirottamento di sessione. È meglio mantenere le tue pagine HTTPS su un dominio separato ( http://example.com ma https://shop.example.com ) per lo stesso motivo.

Altrimenti, solo crittografare tutte le cose . Non è troppo difficile.

Senza una connessione HTTPS, tutti i dettagli che inserisci nel modulo saranno visibili a un utente malintenzionato.

1. Ci possono essere alcuni benefici di fare questo, però. Potrebbe impedire a un uomo nel mezzo di modificare i collegamenti sicuri in modo che punti ai propri siti HTTP.

    
risposta data 05.04.2013 - 13:09
fonte
3

No, non è obbligatorio, ma devi fare molta attenzione se non lo fai.

HTTPS può bloccare gli attacchi man in the middle, a cui HTTP è molto vulnerabile.

Tuttavia, HTTPS trasporta un overhead del processore (e quindi della velocità). L'HTTPS fa sì che i dati fuori sessione non vengano memorizzati nella cache e, quindi, possono scaricare nuovamente i contenuti ad ogni visita. Ti impedisce anche di utilizzare (o rende molto più difficile da usare) le reti di distribuzione dei contenuti.

Quindi molti siti cercano di cavarsela senza, ma è una linea pericolosa poiché la miscelazione di HTTP e HTTPS è molto rischiosa - devi usare i cookie di autenticazione HTTPS, il che significa che l'utente sarà connesso solo quando visiterà le pagine HTTPS .

Se lasci che un cookie di autenticazione HTTPS venga inviato a una pagina HTTP, hai lasciato aperta una via di attacco facile per gli hacker.

Ciò che molti siti fanno è questo:

  • Gli utenti anonimi possono consultare l'e-shop e creare un carrello
  • Una volta che procede al checkout o accedi , passano alla versione sicura (più lenta) di HTTPS.
  • Viene fornito un cookie di autenticazione solo HTTPS e talvolta anche un cookie HTTP con solo il nome utente.

Questo è ciò che fa Amazon: i cookie che contengono il nome utente e il carrello non sono sicuri e possono essere facilmente intaccati, ma devi accedere all'area HTTPS (o avere un cookie HTTPS valido e non scaduto) per acquistare qualcosa o visualizzare il tuo conto.

Questa è una linea sottile, tuttavia, hai bisogno di sviluppatori e personale di supporto validi (con elevata sicurezza). Per la maggior parte dei siti è un lotto più semplice e meno rischioso per tutto ciò che riguarda HTTPS.

Aggiornamento 2016

Non credo che la mia risposta sopra sia più giusta. HTTPS è ora obbligatorio, per un paio di motivi:

  • HTTP / 2 significa che i siti protetti sono spesso significativamente più veloci.
  • Diverse funzioni avanzate sono solo HTTPS, ad esempio i lavoratori del servizio.
  • Google Chrome (e probabilmente altri browser a breve) segnalano sempre più siti che non usano HTTPS. Entro il 2017, anziché il solo lucchetto verde, i siti senza HTTPS visualizza un avviso :

    
risposta data 05.04.2013 - 17:43
fonte
2

Non è obbligatorio e le cose funzioneranno anche con http ma non è raccomandato .

Usando https ti assicuri che le comunicazioni tra te e i tuoi clienti che potrebbero contenere i dettagli della carta di credito e i dettagli dell'ordine siano criptate e non possano essere viste da terzi che eseguono uno sniffer di pacchetti.

Supponiamo che tu non usi https:

  1. I dettagli della carta di credito e qualsiasi altra informazione potrebbero essere compromessi utilizzando la semplice acquisizione di pacchetti.
  2. Sarà molto facile fare un attacco MITM. Ciò potrebbe comportare la corruzione di dati importanti come i dettagli di pagamento o i dettagli dell'ordine senza la conoscenza delle due parti comunicanti
  3. Stai facendo affari. Se le tue controparti hanno questa funzione, devi implementare questa funzione o perderai i clienti.
risposta data 05.04.2013 - 13:17
fonte
2

Mentre una pratica che dovrebbe essere assolutamente seguita ogni volta che si trasmettono dati sensibili (ad esempio credenziali di autenticazione), l'utilizzo di HTTPS è obbligatorio solo quando è coinvolto lo standard PCI-DSS (Payment Card Industry Data Security).

Il sito e-commerce memorizza, elabora o trasmette i dati dell'account? In caso affermativo, deve rispettare PCI-DSS.

PCI-DSS v2.0 afferma chiaramente:

4.1 Use strong cryptography and security protocols (for example, SSL/TLS, IPSEC, SSH, etc.) to safeguard sensitive cardholder data during transmission over open, public networks.

Nota: i dati dell'account includono il numero di conto primario (PAN), il nome del titolare della carta, la data di scadenza, il codice di servizio, i dati della banda magnetica completa o equivalente su un chip, CAV2 / CVC2 / CVV2 / CID, PIN / Blocchi PIN

    
risposta data 05.04.2013 - 16:28
fonte

Leggi altre domande sui tag