Καλησπέρα.
Μπορεί κάποιος να μου σχετικά με τα ssl sertificates ποια είναι η διαφορά τους από τα φθηνότερα προς τα ακριβότερα γιατί δεν μπορώ να βγάλω εύκολα άκρη.
Γενικά εσείς τι χρησιμοποιείτε από ssl ?
Γνωρίζεις τι είναι το SSL;
Μια αναζήτηση θα σου βγάλει αρκετές πληροφορίες.
Στην ερώτηση αν χρησιμοποιώ η απάντηση είναι εξαρτάτε απο το αν οι πληρωμές γίνονται μέσα στο eshop ή στέλνονται στη τράπεζα (iframe).
Σε γενικές γραμμές αυξάνει την εμπιστοσύνη του χρήστη [*].
* Είναι αρκετοί οι λόγοι για να επιλέξεις ενα SSL.
Μια αναζήτηση θα σου βγάλει αρκετές πληροφορίες.
Στην ερώτηση αν χρησιμοποιώ η απάντηση είναι εξαρτάτε απο το αν οι πληρωμές γίνονται μέσα στο eshop ή στέλνονται στη τράπεζα (iframe).
Σε γενικές γραμμές αυξάνει την εμπιστοσύνη του χρήστη [*].
* Είναι αρκετοί οι λόγοι για να επιλέξεις ενα SSL.
Όταν έχεις να κάνεις με συναλλαγές, ή προσωπικά δεδομένα καλό θα ήταν να έχει η ιστοσελίδα σου ssl certificate και όλο το traffic που έρχεται να πηγαίνει εκεί. Εννοώ ότι η σελίδα σου θα δουλεύει σε http και όταν μπει ο χρήστης να τον κάνει redirection σε https (SSL)
Από κει και πέρα, υπάρχουν πολλοί παράμετροι για το εάν το ssl είναι φθηνό ή ακριβό τι παρέχει.
Το βασικό που σε ενδιαφέρει είναι το επίπεδο κρυπτογράφισης που παρέχει ή την Green Bar (πράσινη μπάρα) που έχουν τα μεγάλα SSL certs όπως πχ αυτά που έχουν στα web bankings ή πχ το Paypal.
Από κει και πέρα, υπάρχουν πολλοί παράμετροι για το εάν το ssl είναι φθηνό ή ακριβό τι παρέχει.
Το βασικό που σε ενδιαφέρει είναι το επίπεδο κρυπτογράφισης που παρέχει ή την Green Bar (πράσινη μπάρα) που έχουν τα μεγάλα SSL certs όπως πχ αυτά που έχουν στα web bankings ή πχ το Paypal.
Συμφωνώ με τους προλαλήσαντες και συμπληρώνω ότι τα SSL certificates είναι χρήσιμα αλλά υπό συνθήκας...
Το SSL παρέχοντας ασφαλή σύνδεση αυξάνει την εμπιστοσύνη κάποιων πελατών όσον αφορά την υποκλοπή των κωδικών τους, του Session, των επιλογών τους και άλλων προσωπικών δεδομένων μέσω παρακολούθησης του http traffic από σημεία σύνδεσης που μεσολαβούν μεταξύ του υπολογιστή του πελάτη και του διακομιστή που βρίσκεται το κατάστημα. Πέρα από αυτό, από μόνο του ένα SSL δεν επαρκεί για να προάγει την αίσθηση ασφάλειας ενός καταστήματος ούτε διασφαλίζει απαραίτητα την ασφάλεια των προσωπικών δεδομένων των πελατών. Ουσιαστικά είναι ένα ακόμη εργαλείο που συμπληρώνει την γενικότερη πολιτική ορθής διαχείρισης των δεδομένων των πελατών. Αν δεν υπάρχει τέτοια πολιτική, η αίσθηση ασφάλειας είναι επίπλαστη....
Και εξηγούμαι:
Αν στην εφαρμογή έχει υλοποιηθεί σωστά η ασφαλής σύνδεση μέσω SSL, τότε παρέχεται σημαντική ασφάλεια σχετικά με την υποκλοπή κωδικών σύνδεσης. Αυτό όμως δεν εξασφαλίζει απαραίτητα την ασφάλεια των προσωπικών δεδομένων.
Α) Όταν ο μέσος καταστηματάρχης χρησιμοποιεί shared ή VPS hosting τότε θα πρέπει να έχει υπόψη του ότι δυνητικά η βάση δεδομένων και κατ' επέκταση τα προσωπικά δεδομένα των πελατών είναι εκτεθειμένα στο προσωπικό τεχνικής υποστήριξης των εταιριών hosting. Στην περίπτωση VPS συνήθως οι τεχνικοί υποστήριξης ρωτάνε και γενικά ενημερώνουν πότε χρησιμοποιούν root access, αλλά στην περίπτωση των Shared, ο οποιοσδήποτε newbie τεχνικός μπορεί κατά βούληση να τρέξει λογισμικό auditing ή να τροποποιήσει ή να διαγράψει αρχεία από ένα account αν το κρίνει απαραίτητο σύμφωνα με την πολιτική της εταιρίας hosting. Σε πολύ σπάνιες περιπτώσεις μπορούν να το κάνουν και χωρίς λόγο (πχ από ασχετοσύνη να διαγράψουν αρχεία με χρήσιμο κώδικα επειδή το πρόγραμμα auditing που χρησιμοποιούν τα ανέφερε ως malicious... ). Πάντως οι πιθανότητες να υπάρξει πρόβλημα υποκλοπής δεδομένων από το ίδιο το προσωπικό ενός hoster είναι από μηδενικές έως απειροελάχιστες. Αν τώρα μία επιχείρηση γιγαντωθεί, τότε το θέμα της διαχείρισης από αξιόπιστο προσωπικό λαμβάνεται πολύ πιο σοβαρά και πρέπει να επιλέγουμε εμείς ποιοι θα έχουν πρόσβαση στο διακομιστή.
Β) Κατά καιρούς ένα κατάστημα ενδέχεται να χρειάζεται αναβαθμίσεις, τροποποιήσεις κλπ. Εκτός αν ο καταστηματάρχης είναι και developer, τότε ο developer που θα αναλάβει το έργο θα πρέπει να είναι αξιόπιστος γιατί και αυτός θα έχει πλήρη πρόσβαση στη βάση δεδομένων και κατ' επέκταση στα προσωπικά δεδομένα των πελατών.
Γ) Κενά ασφάλειας δεδομένων μπορούν να υπάρξουν και από κακή διαχείριση της εφαρμογής ή του διακομιστή (λάθος permissions, ανυπαρξία firewall, παλαιό λογισμικό με κενά ασφάλειας, παράλειψη αναβαθμίσεων διακομιστή, κλπ). Όταν κάποιος δεν γνωρίζει πολλά από διαχείριση διακομιστών μπορεί κατά λάθος να “ανοίξει” διάφορα κενά ασφάλειας που μετά η χρήση SSL είναι σαν να έχεις αγοράσει πόρτα ασφαλείας και να αφήσεις όλα τα παράθυρα ανοικτά...
Δ) Σε ένα τυπικό κατάστημα Opencart δεν αποθηκεύονται στοιχεία πιστωτικών καρτών. Αυτά τα στοιχεία τα δηλώνει ο πελάτης όταν συνδέεται με redirection στο σύστημα εκκαθάρισης πιστωτικών καρτών της τράπεζας. Σε αυτό το στάδιο η ίδια η τράπεζα παρέχει το δικό της SSL και όλα πραγματοποιούνται σε ασφαλές περιβάλλον. Η χρήση SSL στο κατάστημα ουσιαστικά προστατεύει τις πληροφορίες που ανταλλάσσονται μέσω φορμών καθώς και την είσοδο στους λογαριασμούς των πελατών από κακόβουλους τρίτους μέσω διαφόρων μεθόδων υποκλοπής της συνεδρίας (session). Όμως η κακόβουλη πρόσβαση σε λογαριασμούς πελατών μπορεί κάλλιστα να συμβεί αν κάποιος πελάτης χρησιμοποιεί προβλέψιμο κωδικό (που είναι και η πιθανότερη περίπτωση).
Άρα συνοψίζοντας επειδή το ζητούμενο δεν είναι απλά να “φαίνεται” ότι παρέχεται ασφάλεια... Αν νοιαζόμαστε πραγματικά για την ασφάλεια της σύνδεσης και των προσωπικών δεδομένων των πελατών τότε:
- Χρησιμοποιούμε αξιόπιστη εταιρία hosting και κατά προτίμηση VPS ή dedicated διακομιστή.
- Αν δεν γνωρίζουμε από διαχείριση διακομιστών είναι προτιμότερο να πάμε σε Shared. Οι πιθανότητες να υπάρξει πρόβλημα από το ίδιο το προσωπικό ενός hoster είναι απειροελάχιστες σε σχέση με τα κενά ασφαλείας που μπορεί να δημιουργήσει κάποιος ημιμαθής DIY server admin.
- Αναρτούμε σε εμφανές σημείο του site, όρους χρήσης, όρους προστασίας προσωπικών δεδομένων, όρους αποστολής παραγγελιών και όρους επιστροφής παραγγελιών. Αυτό κατά την άποψη μου είναι ένα από τα σημαντικότερα ποιοτικά χαρακτηριστικά ενός σοβαρού καταστήματος.
- Συνεργαζόμαστε με developers και επιχειρήσεις κατά προτίμηση εγχώριες όπου μπορούμε να ελέγξουμε τα στοιχεία τους και την αξιοπιστία τους.
- Τέλος αν το κρίνουμε απαραίτητο προσθέτουμε και το SSL...
Το SSL παρέχοντας ασφαλή σύνδεση αυξάνει την εμπιστοσύνη κάποιων πελατών όσον αφορά την υποκλοπή των κωδικών τους, του Session, των επιλογών τους και άλλων προσωπικών δεδομένων μέσω παρακολούθησης του http traffic από σημεία σύνδεσης που μεσολαβούν μεταξύ του υπολογιστή του πελάτη και του διακομιστή που βρίσκεται το κατάστημα. Πέρα από αυτό, από μόνο του ένα SSL δεν επαρκεί για να προάγει την αίσθηση ασφάλειας ενός καταστήματος ούτε διασφαλίζει απαραίτητα την ασφάλεια των προσωπικών δεδομένων των πελατών. Ουσιαστικά είναι ένα ακόμη εργαλείο που συμπληρώνει την γενικότερη πολιτική ορθής διαχείρισης των δεδομένων των πελατών. Αν δεν υπάρχει τέτοια πολιτική, η αίσθηση ασφάλειας είναι επίπλαστη....
Και εξηγούμαι:
Αν στην εφαρμογή έχει υλοποιηθεί σωστά η ασφαλής σύνδεση μέσω SSL, τότε παρέχεται σημαντική ασφάλεια σχετικά με την υποκλοπή κωδικών σύνδεσης. Αυτό όμως δεν εξασφαλίζει απαραίτητα την ασφάλεια των προσωπικών δεδομένων.
Α) Όταν ο μέσος καταστηματάρχης χρησιμοποιεί shared ή VPS hosting τότε θα πρέπει να έχει υπόψη του ότι δυνητικά η βάση δεδομένων και κατ' επέκταση τα προσωπικά δεδομένα των πελατών είναι εκτεθειμένα στο προσωπικό τεχνικής υποστήριξης των εταιριών hosting. Στην περίπτωση VPS συνήθως οι τεχνικοί υποστήριξης ρωτάνε και γενικά ενημερώνουν πότε χρησιμοποιούν root access, αλλά στην περίπτωση των Shared, ο οποιοσδήποτε newbie τεχνικός μπορεί κατά βούληση να τρέξει λογισμικό auditing ή να τροποποιήσει ή να διαγράψει αρχεία από ένα account αν το κρίνει απαραίτητο σύμφωνα με την πολιτική της εταιρίας hosting. Σε πολύ σπάνιες περιπτώσεις μπορούν να το κάνουν και χωρίς λόγο (πχ από ασχετοσύνη να διαγράψουν αρχεία με χρήσιμο κώδικα επειδή το πρόγραμμα auditing που χρησιμοποιούν τα ανέφερε ως malicious... ). Πάντως οι πιθανότητες να υπάρξει πρόβλημα υποκλοπής δεδομένων από το ίδιο το προσωπικό ενός hoster είναι από μηδενικές έως απειροελάχιστες. Αν τώρα μία επιχείρηση γιγαντωθεί, τότε το θέμα της διαχείρισης από αξιόπιστο προσωπικό λαμβάνεται πολύ πιο σοβαρά και πρέπει να επιλέγουμε εμείς ποιοι θα έχουν πρόσβαση στο διακομιστή.
Β) Κατά καιρούς ένα κατάστημα ενδέχεται να χρειάζεται αναβαθμίσεις, τροποποιήσεις κλπ. Εκτός αν ο καταστηματάρχης είναι και developer, τότε ο developer που θα αναλάβει το έργο θα πρέπει να είναι αξιόπιστος γιατί και αυτός θα έχει πλήρη πρόσβαση στη βάση δεδομένων και κατ' επέκταση στα προσωπικά δεδομένα των πελατών.
Γ) Κενά ασφάλειας δεδομένων μπορούν να υπάρξουν και από κακή διαχείριση της εφαρμογής ή του διακομιστή (λάθος permissions, ανυπαρξία firewall, παλαιό λογισμικό με κενά ασφάλειας, παράλειψη αναβαθμίσεων διακομιστή, κλπ). Όταν κάποιος δεν γνωρίζει πολλά από διαχείριση διακομιστών μπορεί κατά λάθος να “ανοίξει” διάφορα κενά ασφάλειας που μετά η χρήση SSL είναι σαν να έχεις αγοράσει πόρτα ασφαλείας και να αφήσεις όλα τα παράθυρα ανοικτά...
Δ) Σε ένα τυπικό κατάστημα Opencart δεν αποθηκεύονται στοιχεία πιστωτικών καρτών. Αυτά τα στοιχεία τα δηλώνει ο πελάτης όταν συνδέεται με redirection στο σύστημα εκκαθάρισης πιστωτικών καρτών της τράπεζας. Σε αυτό το στάδιο η ίδια η τράπεζα παρέχει το δικό της SSL και όλα πραγματοποιούνται σε ασφαλές περιβάλλον. Η χρήση SSL στο κατάστημα ουσιαστικά προστατεύει τις πληροφορίες που ανταλλάσσονται μέσω φορμών καθώς και την είσοδο στους λογαριασμούς των πελατών από κακόβουλους τρίτους μέσω διαφόρων μεθόδων υποκλοπής της συνεδρίας (session). Όμως η κακόβουλη πρόσβαση σε λογαριασμούς πελατών μπορεί κάλλιστα να συμβεί αν κάποιος πελάτης χρησιμοποιεί προβλέψιμο κωδικό (που είναι και η πιθανότερη περίπτωση).
Άρα συνοψίζοντας επειδή το ζητούμενο δεν είναι απλά να “φαίνεται” ότι παρέχεται ασφάλεια... Αν νοιαζόμαστε πραγματικά για την ασφάλεια της σύνδεσης και των προσωπικών δεδομένων των πελατών τότε:
- Χρησιμοποιούμε αξιόπιστη εταιρία hosting και κατά προτίμηση VPS ή dedicated διακομιστή.
- Αν δεν γνωρίζουμε από διαχείριση διακομιστών είναι προτιμότερο να πάμε σε Shared. Οι πιθανότητες να υπάρξει πρόβλημα από το ίδιο το προσωπικό ενός hoster είναι απειροελάχιστες σε σχέση με τα κενά ασφαλείας που μπορεί να δημιουργήσει κάποιος ημιμαθής DIY server admin.
- Αναρτούμε σε εμφανές σημείο του site, όρους χρήσης, όρους προστασίας προσωπικών δεδομένων, όρους αποστολής παραγγελιών και όρους επιστροφής παραγγελιών. Αυτό κατά την άποψη μου είναι ένα από τα σημαντικότερα ποιοτικά χαρακτηριστικά ενός σοβαρού καταστήματος.
- Συνεργαζόμαστε με developers και επιχειρήσεις κατά προτίμηση εγχώριες όπου μπορούμε να ελέγξουμε τα στοιχεία τους και την αξιοπιστία τους.
- Τέλος αν το κρίνουμε απαραίτητο προσθέτουμε και το SSL...
PeoplesCode.com
Επίσημος Αντιπρόσωπος OpenCart | Extensions - Φιλοξενία - Αναβάθμιση - Τεχνική Υποστήριξη OpenCart
Opencart-Hellas.gr - Η Ελληνική κοινότητα του Opencart
Πλήρης Ελληνική μετάφραση OpenCart
Who is online
Users browsing this forum: No registered users and 2 guests
