在我工作的地方,我们在内联网上设置了一个电子商务系统,用于处理客户的信用卡。目前,当我们使用Authorize.net向客户的信用卡收费时,我们不会通过安全连接向Authorize.net发送信用卡信息。相反,它会超过常规的http。我想得到关于这是多么严重/疏忽的其他意见。感谢。
编辑:看起来我错了。我在代码中偷偷摸摸地看着它在https://secure.authorize.net处理信用卡。但是,输入信用卡的网页不安全。这与我最初描述的情况不同。对于那个很抱歉。
答案 0 :(得分:7)
这似乎很疏忽。信用卡信息泄漏太多,无法实现这种行为。
即使处理是在Intranet内部处理的,也没有发送给第三方,我建议使用安全连接。您不希望任何人,甚至是内部的非授权员工都可以访问它。
答案 1 :(得分:3)
我很困惑。你如何向Authorize.net发送纯HTTP请求?他们的事务端点没有HTTP版本 - 他们在允许的情况下是犯罪过失。
现在您已经编辑过,事情会更清楚一些。是的,让内联网页面为HTTP而不是HTTPS,仍然存在安全风险,但远远低于您最初提出的问题(未加密的公共互联网传输)。
由于它是内部的,您不需要付费的SSL证书(如果成本是避免HTTPS的原因 - 我想不出任何其他好的理由) - 您应该能够使用自签名证书。
答案 2 :(得分:2)
这非常重要,你所做的事可能会导致严重的问题。
此外,它违反了PCI标准,每家处理信用卡信息的公司都必须遵循PCI标准,因此您可能会遇到法律问题。
答案 3 :(得分:1)
这是一场绝对的,毫不畏缩的灾难。你应该立即(我的意思是)立即使用传输级安全性(SSL / TLS),如果Authorize.net可以设置它,也可以使用消息级安全性。
答案 4 :(得分:1)
我建议阅读OWASP指南: http://www.owasp.org/index.php/Category:OWASP_Guide_Project(免费下载)
Page 53及以后..获得了一些很棒的信息。
我会说,你所做的是可怕的疏忽,需要尽快排序..