Devo installare un certificato SSL per un sito Web che utilizza un gateway di pagamento di terze parti?

3

Capisco cosa fa un certificato SSL ma ho bisogno di aiuto per valutare se ne ho bisogno per il sito web del mio cliente.

Il suo sito web vende pacchetti vacanze online, ma lo fa senza chiedere informazioni sulla carta di credito. Quando il visitatore tenta di prenotare un pacchetto, viene inviato al gateway di una terza parte della banca dove invia le sue informazioni e quindi torna al sito Web una volta completato il pagamento.

In questo scenario, ci sono motivi validi per installare un certificato SSL, diversi dai motivi per proteggere il marchio e fornire un'atmosfera sicura per i visitatori per fare acquisti?

    
posta Amit Erandole 21.01.2014 - 14:24
fonte

3 risposte

6

Interpreterò queste domande come "dovrebbe essere abilitato SSL sul server web di questo client o no?" Indipendentemente dalle informazioni relative alla carta di credito, raccoglierà comunque dati personali sui clienti del cliente e pertanto SSL dovrebbe essere abilitato. Oltre a proteggere il marchio e fornire un sito sicuro per fare acquisti:

  • Aiuterà a proteggere il cliente dalla responsabilità
  • Potrebbe essere richiesto da leggi o regolamenti a seconda di dove è ospitato il sito o dei client che serve
  • È più facile ed economico prevenire le violazioni dei dati piuttosto che eliminarle più tardi
risposta data 21.01.2014 - 14:50
fonte
5

Un modo per vedere il problema è il seguente: perché non vuoi usare SSL? Il sovraccarico è lieve e il prezzo del certificato è irrilevante per un'azienda. Forse, invece di cercare i motivi per usare SSL, dovremmo applicarlo a meno che ci sia un motivo esplicito noto per cui non dovremmo.

Ad ogni modo, per la tua situazione specifica e con il punto di vista dell'attaccante: un sito Web non SSL è "sicuro" purché il portale di pagamento protetto includa una descrizione esplicita di ciò che il cliente sta acquistando. Il cliente deve vedere , attraverso la pagina Web SSL, una descrizione univoca di ciò che sta pagando. Un semplice riferimento al contratto opaco non è sufficiente, perché il cliente non può davvero sapere, quindi, che ciò che ha visto su una pagina Web non SSL è in realtà ciò che il server ha inviato dall'altro lato.

In generale, gli aggressori attivi possono diffondere un caos considerevole su un sito Web non protetto: defacement, download automatico di malware in ignari computer dei clienti, ... ma questo rozzo vandalismo viene spesso rilevato come tale. Un'azione molto più dannosa sarebbe quella di inserire solo modifiche sottili nel funzionamento del sito Web. Se il cliente acquista un pacco e scopre solo al momento dell'atterraggio in un'isola remota e soleggiata che, contrariamente a quello che pensava, il suo pacco non includeva la prenotazione dell'hotel, quindi sarebbe piuttosto irritato; e un aggressore sottile può rendere questa situazione infelice alterando i contenuti non SSL del sito Web. Se volessi distruggere completamente il business del sito Web di vendita delle vacanze del tuo cliente, lo farei in questo modo.

La maggior parte dei siti Web evita gli attacchi per effetto di massa: non ci sono abbastanza aggressori in tutto il mondo per rompere davvero tutti i siti vulnerabili. È piuttosto efficace, ma euristico, protezione della sicurezza. L'utilizzo di SSL a livello di sito non è un modo molto costoso per ridurre la dipendenza dalla fortuna.

    
risposta data 21.01.2014 - 15:33
fonte
2

Se hai intenzione di utilizzare http per i tuoi clienti per connetterti con te, non c'è modo di determinare che i dati inviati da e verso sono in realtà da chi tu pensi che sia.

Soprattutto dal punto di vista del cliente, i dati inviati al sito web dal suo browser devono essere intatti e non devono essere disponibili a nessun altro sulla stessa rete.

MITM & il dirottamento di sessione è molto più facile quando usi http. [Anche se non possono toccare le informazioni bancarie, per quanto riguarda le informazioni relative al pacchetto vacanze e, più importante, le informazioni personali dell'utente che riempiranno sul tuo sito web (non vogliamo che siano alterate lungo il percorso o siano disponibili a chiunque sul rete ora facciamo noi.)]

Se fossi un cliente mi sentirei a mio agio se vedo il lucchetto sulla barra degli url quando visito un sito web che mi porterà a una transazione monetaria.

    
risposta data 21.01.2014 - 14:45
fonte

Leggi altre domande sui tag