Немного о безопасности интернет-магазинов - 2

Немного о безопасности интернет-магазинов - 2
Вторая группа проблем, связанных с хранением клиентских данных, в чем-то является продолжением первой группы, поскольку связана не столько с действиями самих владельцев торговых сайтов, сколько с тем, как ведут себя их «движки» в тот момент, когда покупатель вводит свои данные для оплаты товара. Речь идет о тех из них, которые уже имеют встроенный функционал по взаимодействию с платежными системами и платежными шлюзами.

Очень часто сайты запоминают вводимые пользователем данные для того, чтобы во время следующей покупки ему не нужно было вводить их заново. Идея, в общем-то, здравая и хорошая, потому что современная индустрия интернет-платежей часто требует введения большого числа данных на стороне клиента (хотя, конечно, и не всегда). Каждый раз вводить все данные заново действительно может быть неудобно, но для того, чтобы их хранить, недостаточно просто записать их в базу данных. В таком случае, если сайт взломают, утекут не просто логины и пароли клиентов – утекут их платежные реквизиты, что даст возможность взломщикам легко и быстро обогатиться за счет покупателей.

Решения может быть два: либо вовсе не хранить данные у себя, подобрав такой платежные шлюз, который сам обрабатывает все данные, вводимые пользователем, или хранить их как положено – то есть, в зашифрованном виде. Для этого надо, опять-таки, использовать нормальные решения, которые хорошо зарекомендовали себя на рынке, а не заказывать написание интернет-магазина знакомому студенту, который не может предложить ничего, кроме демпинговой цены. К счастью, сегодня уже немало бесплатных «движков» для интернет-магазинов, которые предлагают хороший функционал «из коробки». Всё, что нужно для их использования – это немного знать английский язык. Выбор такого «движка»
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.