Sito di e-commerce che utilizza HTTP in chiaro ma reindirizza a PayPal durante il checkout

1

Ho bisogno di acquistare alcuni articoli (magliette, dvd, ecc.) su un vecchio sito di e-commerce che non è stato aggiornato da un po 'e non usa HTTPS per crittografare i dati in transito. Il sito Web non ha implementato alcun meccanismo di autenticazione, non è possibile creare un account sul sito Web. Ti consente solo di cercare prodotti e aggiungere articoli a un carrello. La sezione del carrello visualizza il prezzo totale dei tuoi articoli e fornisce anche un modo per calcolare i costi di spedizione in base al Paese e al codice postale / postale. Tutte queste informazioni non sono crittografate poiché l'intero sito web utilizza HTTP in chiaro.

Non posso inserire le informazioni di pagamento sul sito web e completare la procedura di checkout. Il sito web ha solo un metodo di pagamento: "Paga con Paypal".

Non appena clicco sul pulsante "Paga con Paypal", vengo reindirizzato al sito web sicuro di PayPal dove posso effettuare il login e effettuare un acquisto. Nota: in realtà non ho provato ad accedere a PayPal perché temevo che le informazioni di accesso / pagamento sarebbero state in qualche modo restituite al sito Web principale HTTP in chiaro in una fase successiva. Inoltre, non so se effettuo un acquisto tramite PayPal, il pagamento e le fasi della transazione saranno completati sul sito web di PayPal anziché sul sito Web HTTP principale.

La domanda che ho è la seguente:

Sarebbe sicuro per me acquistare articoli su quel sito web dato che nessuna informazione sensibile (a parte il costo totale degli articoli nel carrello e costi di spedizione) è memorizzata sul sito web, e l'intera procedura di checkout sembra accadere solo sul sito web sicuro di PayPal (non sicuro al 100% anche se non ho ancora effettuato un acquisto tramite PayPal)?

Vuoi acquistare un prodotto su un sito web di questo tipo e pagare con PayPal senza preoccuparti che le tue informazioni possano essere compromesse da un aggressore man-in-the-middle?

    
posta Alex 25.06.2018 - 17:23
fonte

2 risposte

1

A meno che tu non stia effettivamente inserendo le informazioni sensibili (ad es. informazioni sulla carta di credito) sul sito stesso, allora stai bene. Pensaci in questo modo, dì che sei per strada, appena fuori da una banca. Tutti possono vedere dove sei, cosa stai facendo, ecc. Tuttavia, per effettuare una transazione, ora si entra in un ufficio di transazioni casuali in banca. Chiaramente, nessuno per strada può effettivamente vedere ciò che stai facendo, o anche la tua posizione esatta più. Completa la transazione, poi torna indietro e cammina per strada, dopo aver completato la transazione. Nessuno dall'esterno ha visto niente. Ora, naturalmente, alcune delle persone in strada potrebbero sospettare che tu abbia appena completato una transazione in banca e ti abbia preso di mira, ma se non hai portato le informazioni sensibili con te in strada, allora non saranno in grado di trovare nulla. La strada in questo caso è il sito Web HTTP casuale in cui ti trovi e la banca è PayPal.

    
risposta data 25.06.2018 - 19:27
fonte
1

Quello che descrivi è il modo in cui la maggior parte dei siti di e-commerce ha lavorato nell'ultimo decennio, quando i certificati SSL erano complicati e costosi.

Questo tipo di sito non elabora i pagamenti da solo, ma delegati a terze parti attendibili, come PayPal, Alipay o altri gateway di pagamento. In questo caso, nei loro sistemi non sono memorizzati dati finanziari, ma solo i dettagli di consegna: prodotti e quantità, nome utente e indirizzo e così via. Riduce la complessità e la quantità di dati che devono conservare al sicuro.

In questo caso, il negozio genererà un ID e un valore della transazione e ti reindirizzerà a PayPal, che ti chiederà i dettagli del pagamento e, se la transazione avrà esito positivo, ti reindirizzerà al sito del commerciante.

C'è un rischio molto piccolo che qualcuno abbia rilevato che stavi pagando qualcosa su questo sito e modifica l'ID della transazione su un altro, quindi pagherai per la sua transazione. Nella pagina di conferma, sicuramente vedrai che il tuo nome e indirizzo sono diversi e potresti chiamare il sito per annullare il pagamento. Ma dubito seriamente che qualcuno sia in grado di eseguire questo tipo di attacco.

    
risposta data 25.06.2018 - 19:28
fonte

Leggi altre domande sui tag