Téma: Bizalmas adatok gyűjtéséhez használjon HTTPS-oldalakat

encipoly eredeti hozzászólása

A webmester eszközökben a következő üzenet fogadott:

"2017 januárjától a Google Chrome (56-os és újabb verziók) „Nem biztonságos” oldalként jelöli meg a jelszavakat és hitelkártya-információkat gyűjtő weboldalakat,
kivéve, ha az oldal kiszolgálása HTTPS-kapcsolaton keresztül történik."
Van tovább is, de a lényeg benne van.

Foglalkozzak szerintetek a problémával? Megoldjam, hogy az oldal HTTPS kapcsolaton keresztül menjen?
Nem szeretném, ha a chrome böngészőt használók nagy piros hibaüzenetet kapjanak, amikor az oldalamra tévednek.

Szerintem ez sokakat fog érdekelni a közeljövőben, így engem is.
Hogyan álltok át gyorsan https-re? Mi ennek a legzökkenőmentesebb módja?

Mi (nem csak ez miatt, már tavaly ta) minden tárhelyhez ingyen adunk SSL tanusítványt. Utána csak egy redirect kell a .htaccess fájlba, vagy wp, stb. esetén egy plugin ami bekapcsolja és voálá.

Megnéztem a snowden filmet és világossá vált, hogy miért erőltetik ezt a https szabvány terjedését. Ugye, azok az oldalak, amik nem használják, azoknak az ügyfeleit bárki meg tudja figyelni.
Aztán az is érdekes volt, hogy snowden elmondta, hogy a kormány direkt hibás szabványokkal árasztja el a piacot, hogy legyenek benne kiskapuk, amin továbbra is be tudnak menni.
Milyen érdekes, hogy meg is jelentek az ingyenes ssl szabványok, amiket tömegesen kezdenek el használni.

Alapvetően nem hiszem, hogy bármi jelentősége van egy céges weboldal, egy hírportál vagy egy landing page esetén. Bankkártya adatokat csak a legnagyobb oldalak tárolnak, akik megszerezték ehhez az engedélyt. Mindenki más külső szolgáltatót használ. A jelszavak egy érdekesebb kérdés, de ki az, aki még erre kényszeríti az ügyfeleit és bárkinek érdekében állna az oldalának a felhasználóit megfigyelni?

Minden esetre, akkor van szerintem egy minimális értelme, ha a rendelési formnak az oldalára pakolod, vagy a levelező felület belépési oldalára vagy oda, ahol esetleg érzékeny adatokkal dolgozol.

Persze mondhatnánk azt is, hogy ha nem kér enni, akkor miért ne tennék ssl-t az oldalainkra? De úgy sem lehet megállítani a tömeghisztériát, ahogy a süti elfogadó csíkok esetén sem.

DomainFlotta eredeti hozzászólása

Megnéztem a snowden filmet és világossá vált, hogy miért erőltetik ezt a https szabvány terjedését. Ugye, azok az oldalak, amik nem használják, azoknak az ügyfeleit bárki meg tudja figyelni.

Ha neked ez jott le a Snowden filmbol, akkor nezd meg ujra

DomainFlotta eredeti hozzászólása

Aztán az is érdekes volt, hogy snowden elmondta, hogy a kormány direkt hibás szabványokkal árasztja el a piacot, hogy legyenek benne kiskapuk, amin továbbra is be tudnak menni.
Milyen érdekes, hogy meg is jelentek az ingyenes ssl szabványok, amiket tömegesen kezdenek el használni.

Nincs olyan hogy ingyenes SSL szabvany. Olyan van hogy ingyenes SSL hitelesites szolgaltato(certificate authority).

DomainFlotta eredeti hozzászólása

Alapvetően nem hiszem, hogy bármi jelentősége van egy céges weboldal, egy hírportál vagy egy landing page esetén. Bankkártya adatokat csak a legnagyobb oldalak tárolnak, akik megszerezték ehhez az engedélyt. Mindenki más külső szolgáltatót használ.

Ez eleg nagyot tevedsz. A kartyaadatok tarolasahoz mindossze PCi compliant-nek kell lenned, ami egyszeruen megszerezheto, szerintem kb szart nem er, en tudok par olyan szervert ami ennek megfelel, de par ora alatt kitudnam szedni a rajtuk tarolt kartyaadatokat.

DomainFlotta eredeti hozzászólása

A jelszavak egy érdekesebb kérdés, de ki az, aki még erre kényszeríti az ügyfeleit és bárkinek érdekében állna az oldalának a felhasználóit megfigyelni?

Az emberek nagyresze ugyanazt a jelszot hasznalja tobb helyen. Ugyhogy ha egy helyen valaki megszerzi a jelszavat, akkor kb az egesz online eletukhoz hozzafer.

DomainFlotta eredeti hozzászólása

Minden esetre, akkor van szerintem egy minimális értelme, ha a rendelési formnak az oldalára pakolod, vagy a levelező felület belépési oldalára vagy oda, ahol esetleg érzékeny adatokkal dolgozol.

Ez nagyobb macera mint az egesz oldalon bekapolcsi, mert a https sutik nem ervenyesek http alatt.

DomainFlotta eredeti hozzászólása

A t-mobileon, a Google, paypal, facebook, amazon kívül nem ismerek olyan céget, aki tárolná a bankkártya adatokat. Sőt magyarországról egyedül az barion, otp, a paypal és a braintree használható arra, hogy bankkártya adatokat tárolj a segítségükkel. Te milyen magyar cégeket ismersz, akik saját maguk tárolják az ügyfelek bankkártya adatait?

Magyart nem ismerek, de angolt rengeteget. Sokkal kisebb cegeket mint az altalad felsoroltak. Teszem hozza, hogy a torvenyi felteleknek megfelelve teszik ezt.
Egyebkent ahogy itt(https://www.mnb.hu/letoltes/a-magyar...tonsagarol.pdf) is irjak:

Az ajánlás a fizetési kártyákhoz kapcsolódó fizetések – ideértve az elektronikustárcaszolgáltatáson
keresztüli virtuális fizetési kártyákat is – lebonyolításának a biztonságával nem
foglalkozik. Erre a vezető kártyatársaságok által kiadott – és PCI DSS néven ismert – Payment
Card Industry Data Security Standard informatikai biztonsági követelményrendszer előírásai
érvényesek.

Tehat magyarorszagon is barki tarolhatja a kartyaadatokat, ha a PCI-nak ennek megfelel. Az mas kerdes hogy nem kellene