Sicurezza SSL di terze parti e con un livello aggiuntivo di SSL

0

Ho fatto una ricerca e non ho trovato una risposta alla mia domanda.

Ho un sito Web che si sta integrando con una terza parte per eCommerce e CRM. Da parte mia non sto raccogliendo dati. Non raccolgo dati di accesso, dati dei clienti o altro. Per recuperare tutti i dati ho bisogno di accedere al loro sito.

Il mio sito estrae vari moduli dal proprio server che codifico nel mio sito tramite frammenti di una riga. Guardando il codice sorgente del mio sito non riesco nemmeno a vedere il codice delle loro forme.

Se ottengo un certificato SSL extra per il mio sito tramite il mio host, MA il loro sito / servizio non ha un buon livello di sicurezza per i dati che vengono trasmessi fa una differenza?

Grazie

    
posta Work-Together2013 23.01.2014 - 03:54
fonte

1 risposta

1

Dipende dal modo in cui i dati vengono trasferiti.

Ecco la cosa: a meno che l'attaccante non imponga al client di utilizzare una SSL cifrata, la suite SSL è presumibilmente indistruttibile per qualcosa come un millennio di anni. Quindi, fintanto che non ci sono connessioni non criptate in questa catena, tutto è impostato, indipendentemente dalla frequenza con cui i tuoi dati vengono crittografati.

Quindi questo è il lato positivo. Ecco il lato negativo: se, come dici tu, "il loro sito / servizio non ha un buon livello di sicurezza per i dati trasmessi", allora no, i tuoi dati non sono veramente sicuri. Se non supportano una crittografia strong, puoi aspettarti di essere fregato (se qualcuno decide di fregarti). Naturalmente, è probabilmente nei contratti della eCommerce essere responsabile della sicurezza delle transazioni, ecc., Quindi sei legalmente abbastanza sicuro (anche se dubito che i tuoi clienti saranno particolarmente felici con te).

Come ho detto, dipende da come funziona la configurazione. Se si tratta di un semplice <iframe> o qualcosa di simile, in realtà si stanno connettendo direttamente al sito eCommerce, quindi non puoi garantire alcun tipo di sicurezza. D'altra parte hai un certo grado di stabilità se le informazioni vengono instradate attraverso di te, perché c'è una difesa eccellente contro gli attacchi di sniffing: usando connessioni cablate. A meno che qualcuno non penetri fisicamente nella tua azienda, sarà impossibile per loro annusare la tua connessione. Quindi sì, non importa come tu trasmetti le informazioni a la società di eCommerce perché puoi essere piuttosto sicuro che un utente malintenzionato non lo veda mai (non può connettersi a la tua rete).

Ma ecco la linea di fondo: se qualsiasi mittente o destinatario di dati in una catena di comunicazioni non supporta la crittografia avanzata, la privacy delle informazioni inviate lungo la catena summenzionata non può essere garantita.

    
risposta data 23.01.2014 - 05:22
fonte

Leggi altre domande sui tag