Chiarire gli attacchi MITM e il requisito del certificato digitale

Spesso non è solo il caso che "le informazioni di pagamento" sono le uniche informazioni sensibili. Se il tuo portale richiede una sorta di "login" (cosa che indubbiamente fa), permetti a molte parti in mezzo (proprietari di Internet Cafe, ISP, "hacker", datori di lavoro, governi, ...) di vedere queste credenziali e prendere in consegna il conto.

Se il tuo portale ha qualcosa in termini di pagamenti ricorrenti che possono impostare dal tuo lato non protetto, o qualsiasi richiesta che possa influire sull'account dei soggetti, non offri alcuna protezione in tal senso.

I certificati SSL e i vantaggi che offrono (anche se si tratta solo di un'immagine professionale e affidabile) superano di gran lunga il prezzo economico.

Questa è una supposizione, ma presumibilmente il tuo sito è per la maggior parte HTTP, quindi quando deve elaborare un pagamento diventa HTTPS o inoltra a una pagina HTTPS?

Se è così, c'è il rischio, perché è possibile ingannare gli utenti visitando una pagina HTTPS solo su HTTP. Per esempio vedi link .

Come allude a m1ke, puoi avere delle parti tra il tuo client e il tuo server, es. coffee shop. In questo scenario è perfettamente plausibile per loro fare qualcosa come una striscia SSL, quindi gli utenti potrebbero non utilizzare SSL per il loro pagamento, dopo tutto.

Per non parlare del fatto che se non stai usando SSL per la parte "principale" del tuo sito, corri il rischio che qualcuno possa crearne una copia dannosa e utilizzarla per attacchi di phishing o ingannare gli utenti la versione errata del sito piuttosto che la versione reale - se questo accade, i cattivi hanno il controllo completo dei dati che l'utente invia inclusi i dati personali e finanziari.