qua*_*els 3 security ssl authorize.net e-commerce
我正在研究Authorize.net的新 "直接邮政方法"来处理信用卡交易.以前,我的公司一直使用Auth.net的AIM处理信用卡而无需离开我们的网站.此方法要求我们拥有SSL.
然而,Auth.net的这个新DPM表示客户仍然在我们的网站上付款,但我们不需要SSL来保证安全.这对我来说有点奇怪,但这就是Auth.net所说的.您可以在此处查看图表:http://developer.authorize.net/api/compare/.
所以,我的问题是这个; 如果我在没有ssl(http:// etc ...)的情况下托管的页面发布到SSL(https:/// etc ...),那么POSTed信息是否安全?
谢谢你的帮助.
从技术上讲,信息在传输过程中可能是安全的(在点击提交按钮之后).但填写表格的人不可能知道它是安全的(那么他们为什么要相信你的网站?).毕竟,如果URL栏没有表明它是一个HTTPS页面,他们怎么知道它会POST到HTTPS站点?
我曾经写过这篇文章.虽然我被指责过于偏执,但我仍然认为,如果我提交的页面(当然还有SSL)都是SSL,我不会信任我的信用卡详细信息的网站.
看:SSL的重点是防止中间人攻击(就是这样).如果您的表单未受到保护,则攻击者可以修改表单以提交到他们想要的任何位置.
中间人攻击允许攻击者在通过互联网传输时修改或监控信息.随着不安全无线网络的普遍存在,BGP中毒,对DNS的攻击以及每天发现的新漏洞,执行中间人攻击变得越来越容易.