Invio di informazioni sicure dall'app con ssl

Naviga le tue risposte
1

Sono uno sviluppatore web, ma occasionalmente passo a fare qualche sviluppo di app per dispositivi mobili qua e là. Un cliente mi ha recentemente chiesto di aiutarli a sviluppare un'applicazione molto semplice. L'app è essenzialmente solo un modulo HTML / jQuery che l'utente compila per riservare il servizio ai miei clienti. Avendo sentito parlare molto di PhoneGap, ho deciso di provarlo per la prima volta, insieme a jQuery Mobile. Tutto ha funzionato bene con la build di PhoneGap e dopo aver testato entrambi i lavori su iOS / Android.

Sebbene, parte del modulo richieda agli utenti di inserire i dati della carta di credito, così il mio cliente può prenotarli con il proprio sistema. La carta non viene mai elaborata tramite l'app, le informazioni vengono raccolte e inviate (via e-mail) al mio cliente che utilizza il proprio gateway di pagamento.

Da quando ho usato PhoneGap per creare l'app, ho semplicemente usato action="https: //www.my-website-with-ssl.php" sul modulo. Come ho detto, sia iOS che Adroid inviano le e-mail (al mio cliente) bene. Ma è anche sicuro?

    
posta SpoonIsBad 31.01.2013 - 17:28
fonte

3 risposte

3

L'invio di informazioni sulla carta di credito via e-mail è pessimo e probabilmente una violazione del loro contratto di servizio commerciale. I dettagli della carta di credito devono essere protetti durante il trasporto e l'e-mail lascia sbattere la brezza.

La connessione SSL al server o meno per la trasmissione dei dati del modulo è irrilevante a meno che il server non stia in qualche modo crittografando l'e-mail per proteggerlo e anche in questo caso non è davvero un buon canale da utilizzare rispetto all'archiviazione delle informazioni protette in un database (ancora probabilmente richiede la conformità PCI-DSS) o semplicemente il fatto di far inoltrare direttamente l'utente al gateway di pagamento stesso per eludere completamente i problemi di conformità.

    
risposta data 31.01.2013 - 18:45
fonte
0

Se tale modulo non è incorporato nell'app e viene fornito su un canale non crittografato, è possibile che un utente malintenzionato lo modifichi in transito a action=https://evil-site.com/carding.php .

Assicurati che tutte le comunicazioni siano crittografate e che i dati degli utenti vengano validati accuratamente sul server.

Per assicurarti che il framework stia interpretando la parte https puoi usare un proxy di intercettazione per controllare i dati in tempo reale. Mettendo :443 dopo che il nome del dominio potrebbe forzare la connessione a usare solo il canale sicuro.

Una cosa diversa da considerare è la sicurezza con cui il framework PhoneGap utilizza SSL. I browser classici richiederanno agli utenti le decisioni mentre i framework avranno comportamenti predefiniti per quei casi speciali. Cose da verificare:

  • In che modo PhoneGap gestisce i certificati autofirmati che di solito sono un segno di comunicazione che viene intercettato.
  • Lo stesso caso per certificati scaduti .
  • Per verificare la presenza di certificati revocati PhoneGap deve intraprendere ulteriori azioni come il controllo CRL e le query del server OSCP.
  • Convalida dei vincoli di base . Anche iOS era vulnerabile a questo nel 2011.
  • SSL forza crittografica utilizzata.
risposta data 31.01.2013 - 18:07
fonte
0

NON inviare email con le informazioni della carta di credito - probabilmente c'è un minimo di $ 500 per il tuo cliente - e sarebbe colpa tua se lo permetti.

    
risposta data 01.02.2013 - 12:33
fonte

Leggi altre domande sui tag

Supporto IT e problemi di sicurezza relativi alle VM locali Chiunque usa L 'Ombrello da OpenDNS? Che cosa è esattamente?