Websecurity - Веб безпека

В сезон новорічних покупок в Інтернеті, в тому числі в Уанеті, збільшується купівельна активність населення. На свята, особливо на Новорічні і Різдвяні свята, люди активно купують товари в онлайн магазинах, користуються електронними платіжними системами та іншими e-commerce сайтами.

На протязі багатьох років я неодноразово розповідав про безпеку e-commerce сайтів (як в Україні, так і інших країнах) - про дірки на сайтах онлайн магазинів, банків, електронних платіжних систем, обмінників та інших e-commerce сайтів. Тому безпека таких сайтів залишає бажати кращого, що потрібно враховувати під час онлайн шопінгу.

Серед таких уразливих e-commerce сайтів є також сайти з логотипами Verified by VISA, MasterCard SecureCode та SSL, які намагаються робити вигляд, що вони безпечні (розміщуючи ці логотипи в себе на сайтах). Як у випадку електронної платіжної системи LiqPAY. Але як добре видно з моїх новин, до бепечності таким сайтам ще далеко.

Тому інтернет користувачам при користуванні такими сайтами (особливо під час онлайн шопінгу) варто не вірити сліпо даним логотипам та офіційним заявам на дірявих сайтах, що у них все безпечно. А потрібно враховувати всю наявну інформацію про стан безпеки даних сайтів (в тому числі й інформацію в моїх новинах).

Бо як видно на прикладі LiqPAY, e-commerce сайти часто ховаються за секюріті логотипами, зокрема Verified by VISA, MasterCard SecureCode та SSL. Намагаючись таким чином задурити людям голову (при цьому зовсім не слідкуючи або недостатньо слідкуючи за безпекою). Незважаючи на назви цих технологій, вони не зможуть захистити від дірявих сайтів, через які нападники можуть дістатися до ваших онлайн гаманців та пластикових карток.

Технологія SSL вирішує лише невелике коло завдань для підвищення безпеки взаємодії користувача з сайтом і вона не врятує від дірок на сайті. А технології Verified by VISA, MasterCard SecureCode та ряд інших (J/Secure і SafeKey) - це технології, що базуються на стандарті 3-D Secure, і вони лише додають додатковий рівень безпеки, але вони не врятують від дірок на сайті. Тому за безпекою сайту також потрібно слідкувати і проводити аудит, зокрема PCI DSS (але зазначу, що я писав і про діряві PCI DSS сайти, як то easypay.ua).

До того ж електронні платіжні системи, що працюють з пластиковими картками, повинні відповідати PCI DSS. Але LiqPAY не відповідає даному стандарту, не має PCI DSS сертифіката. Зате має інші сертифікати, які для них було дешевше отримати, ніж проходити PCI DSS сертифікацію. Логотипи яких вони розмістили на сайті, роблячи тим самим вигляд і вводячи людей в оману, що в них все безпечно (що не так, враховуючи численні дірки) і вони мають необхідні сертифікати (при цьому не маючи PCI DSS сертифіката). Тобто вони намагаються підмінити необхідні сертифікати (PCI DSS) тими, які є додатковими (які можуть використовуватися на додаток до необхідних, але не замість них).

This entry was posted on 22:46 04.01.2011 and is filed under Статті. You can follow any responses to this entry through the RSS 2.0 feed.