没有SSL的在线商店安全吗?商人帐户页面有SSL,tho。
我在用Wix设计一家网上商店。
他们有一个很好的图形界面,允许像我这样的非开发者建立一个专业的在线商店。
然而,由于我是一个网络安全的新手,我有这样的担心- Wix网页不支持SSL在他们的网页。但是,当客户点击结帐开始支付过程时,他被从Wix站点重定向到商家帐户页面(比如paypal等)。商人确实支持SSL。
我假设,虽然Wix网页不支持SSL,但客户没有风险下放,因为他将输入他的信用卡信息等在商人帐户页面。这是正确的吗?如果我不清楚,下面是Wix对此事的解释:
是Wix eCommerce安全吗? 当客户在Wix eCommerce站点或带有PayPal或Add to Cart按钮的站点上购买时,客户在Wix站点上添加的唯一信息是产品和任何产品选项。一旦客户单击Checkout,客户将被从Wix站点重定向到您的商家帐户页面。因此,客户必须输入的任何个人或付款细节都不是在Wix站点上输入的,而是在由商家帐户担保的商家帐户站点上输入的。有关他们如何加密和安全支付信息的更多信息,请与相关的商家帐户联系。
我也只承担这个风险(从客户的角度来看)。是否有更多的风险涉及到Wix网站不支持SSL?也许是黑了网站什么的?(从卖方的角度来看)
回答 1
Stack Overflow用户
发布于 2014-04-07 18:18:52
这个问题可能适用于serverfault.com。但是,由于它与开发有关,我将尽我所能回答这个问题:
当连接未通过SSL (或任何其他安全措施)承载时,通信量是可拦截和可扩展的。这意味着您不能信任您所获得的数据实际上来自用户,没有更改。此外,用户无法相信他实际上是在与您的服务器直接交谈,而不需要有人在中间窥探或更改数据。
考虑到支付系统是一个允许SSL的单独系统,那么您就有了最明显的安全问题。然后由你来评估到那时为止的任何事情是否可以被认为是敏感的。(例如,如果商店需要登录,则使用用户名和密码)。
一个很好的经验法则是:“任何未加密的东西都可能被任何人知道,而且它也是可以改变的。”假设用户希望下订单,然后单击相应的按钮和链接以到达支付系统。现在,如果一个MITM的攻击者想窥探信用卡的详细信息,他可以拦截流量并替换按钮并链接到他自己的系统,这个系统看起来像你的,唯一的目的是收集信用卡的详细信息。这样的攻击是可能的,因为普通用户不知道或不关心接受来自不受信任来源的证书的危险,除非提高对此问题的认识,否则很难打击。我看到网上商店在访问支付系统之前会显示一个警告,用户需要验证证书是否来自他们的服务器,并且URL仍然是指他们的网店。
...But I离题了。总括而言:重要的部分是安全的。至于其余的问题,也有一些缺陷,但如果处理得当,则是可以管理的。
https://stackoverflow.com/questions/22919652
复制相似问题
腾讯云开发者
