Il sito ha bisogno di SSL per inviare nuovamente le informazioni a un sito che utilizza SSL?

4

Diciamo che ho un sito Web isellchicken.com, questo sito deve essere in grado di raccogliere informazioni utente sensibili come i dettagli della carta di credito. Questo sito non elaborerà le informazioni, ma lo invierà a un altro sito, processpayment.com che utilizza SSL. Isellchicken.com deve anche eseguire SSL? O la connessione è criptata solo perché sto postando su un sito che esegue SSL?

Nel caso ve lo stiate chiedendo, il tag form sarà simile a questo:

<form action="https://processpayment.com" method="post">
    
posta Buzu 28.04.2012 - 02:05
fonte

2 risposte

4

Per quanto riguarda i dati di pagamento, è necessario comprendere che esistono risposte focalizzate sulla sicurezza e risposte mirate alla conformità.

In breve, dipende. Certo, puoi postare / reindirizzare gli utenti a un sito HTTPS da un sito HTTP, ma se un tale metodo è accettabile dipende dal tipo di commerciante che sei. Inoltre, se un tale metodo è "sicuro" diventa meno rilevante quando si tiene conto dei mandati di conformità PCI. La domanda diventa quindi il metodo conforme e se si desidera soddisfare i mandati minimi di conformità o se si desidera implementare più controlli per aumentare la postura di sicurezza / ridurre i rischi. E se una cosa è conforme dipende se hai una parola o meno. Questo dipende da quante transazioni di carta di credito elaborate ogni anno.

Diciamo che sei un commerciante (userò "tu" in modo intercambiabile) con il tuo numero di codice commerciante. Accetti pagamenti con carta di credito ma hai scelto di esternalizzare il sistema di pagamento. Il commerciante, tu, è ancora responsabile del mantenimento della conformità PCI . Se la banca acquirente ti chiede di inviare un Questionario di autovalutazione , devi completarlo o rischiare di pagare un prezzo più alto commissione per transazione, penali, entrambi o rischia di perdere la capacità di elaborare i dati delle carte. Se elabori una serie di transazioni con carta di credito - oltre 6 milioni di visti o 6 milioni di mastercard o 2,5 milioni di amex all'anno, allora sarai soggetto a requisiti di verifica più rigorosi, incluso un audit annuale da un Qualified Security Assessor esterno certificato PCI ( QSA).

Se non si elaborano molte transazioni con carta di credito, non è necessario sottoporle a verifica da parte di un QSA. Puoi semplicemente inviare un questionario SAQ. In tal caso, il commerciante e il management dichiarano di soddisfare gli standard PCI Data Security. Tuttavia, se si rientra in una classe che richiede un audit annuale, allora una domanda come se si possa fare un post HTTPS da un modulo non protetto e il modo in cui si implementa il reindirizzamento verrà valutato come pass / fail dal QSA.

Come commenta ewanm89, l'uso di una pagina di testo in chiaro per reindirizzare gli utenti a un gateway di pagamento sicuro è soggetto a un attacco MITM. Chiunque abbia una configurazione intelligente può facilmente cambiare la destinazione da processpayment.com a givemeyourcardnumber.com. L'abile hacker può persino implementare un certificato SSL da una CA pubblica, in modo che l'utente non ottenga alcun popup.

Alla fine, probabilmente è meglio scoprire se sei soggetto a mandati di conformità e, in tal caso, chiedere se un tale metodo è o meno conforme (la risposta generale è che dipende - devi essere in grado di giustificare il come e perché). In secondo luogo, chiediti se sei disposto ad accettare il rischio e se ha senso (o non ha senso) spendere i $ extra per ottenere un certificato SSL per crittografare più contenuti (la crittografia costa anche i cicli della CPU).

È una risposta lunga, ma quando si prendono in considerazione i dati di pagamento, la risposta corretta anche alla domanda più semplice può diventare piuttosto pelosa.

    
risposta data 28.04.2012 - 05:48
fonte
6

Sì, la pagina che esegue il rendering del modulo deve utilizzare SSL e la destinazione. Se la pagina del modulo non utilizza SSL, un utente malintenzionato sarà in grado di manipolarlo durante la trasmissione.

  • Può cambiare il bersaglio.
  • O più furtivo: può aggiungere qualche JavaScript da qualche parte in quella pagina per inviare una copia dei dati al suo server

Non devi insegnare alle persone a inserire informazioni sensibili su pagine non SSL

    
risposta data 28.04.2012 - 08:30
fonte

Leggi altre domande sui tag