it-swarm.com.de

Sicherheitsüberlegungen für meinen ersten eStore

Ich habe eine Website, über die ich nur wenige Produkte verkaufen werde. Es wird auf einem einfachen Shared Hosting gehostet und hat kein SSL.

Auf der Produktseite hat jedes Produkt eine Schaltfläche Jetzt kaufen, die über mein Paypal Händlerkonto erstellt wurde. Paypal empfiehlt die Verwendung von Button Factory, um sichere Schaltflächen zu erstellen und diese in Paypal zu speichern selbst. Ich habe den gleichen Rat befolgt und der Code einer Schaltfläche ist sicher und gibt weder Informationen zu einem Produkt noch zum Preis preis.

Wenn der Benutzer auf die Schaltfläche Jetzt kaufen klickt, wird er zu Paypal weitergeleitet, auf der eine Seite in SSL geöffnet wird Damit der Benutzer die Kreditkarten- und Versanddaten eingeben kann. Nach einer erfolgreichen Transaktion wird das Steuerelement an meine Site zurückgegeben.

Ich möchte wissen, ob es noch eine Chance gibt, dass die Sicherheit gefährdet wird.

1
RPK

Werfen Sie einen Blick auf CWE/SANS Top 25 der gefährlichsten Programmierfehler und berücksichtigen Sie die möglichen Bedrohungen, die durch den unbefugten Zugriff auf Ihr Dateisystem entstehen können (dh was passiert, wenn ein Angreifer Ihren Seiten ein schädliches Javascript hinzufügt?) - Die Sicherheitspraktiken für gemeinsam genutzte Hosts variieren stark zwischen den Anbietern. Sie können daher die Angebote und Praktiken Ihres Hosts überprüfen, wenn Sie der Ansicht sind, dass Sie Anlass zur Sorge haben.

1
danlefree

Absolut, aber abhängig von der Art des Produktes unwahrscheinlich.

Wenn Sie über digitale Produkte/digitale Downloads sprechen, ist das eine ganz andere Seite und Sicherheitsbedenken.

Wenn Sie nur die Paypal-Transaktionen überprüfen und dann manuell eine Bestellung abschließen/versenden, sollten Sie in Ordnung sein. Wenn die Bestätigungsseite jedoch ein Skript enthält, können Sie möglicherweise vorgeben, dass die Bestellung abgeschlossen wurde usw.

Da Sie nichts mit Zahlungen zu tun haben, würde ich sagen, dass selbst wenn Sie gezielt vorgehen, jegliche Art von "Problemen" sich nur auf Ausfallzeiten während der Wiederherstellung beschränken (regelmäßige Sicherungen durchführen), aber Sie sollten ziemlich sicher sein.

0
wilhil

Die Liste, auf die danlefree-Links verweist, enthält einen Überblick über die häufigsten Sicherheitsprobleme bei Online- und Offline-Anwendungen (wahrscheinlich eine gute Checkliste für die meisten Projekte). Abgesehen von diesen allgemeinen Bedenken gibt es jedoch nicht so viele E-Commerce-spezifische Probleme Probleme, über die Sie sich Sorgen machen müssen, wenn Sie eine externe Zahlungsabwicklung wie den Paypal-Standard verwenden.

Ich meine, wenn Ihr Benutzer das Ziel eines MITM-Angriffs (Man-in-the-Middle) ist, ist es möglich, dass seine Zahlungen auf das Paypal-Konto des Angreifers umgeleitet werden (oder seine Paypal-Anmeldeinformationen gestohlen werden) wirklich unwahrscheinliches Szenario IMO. Wenn Sie jedoch auf Nummer sicher gehen möchten, lohnt es sich möglicherweise, ein SSL-Zertifikat zu erwerben und es für die gesamte Site zu verwenden. Die größten Sicherheitsbedenken im Zusammenhang mit E-Commerce treten jedoch erst auf, wenn Sie anfangen, personenbezogene Daten (PII) und andere vertrauliche Informationen vor Ort zu verarbeiten. In diesem Fall müssen Sie mit der TLS-Verschlüsselung beginnen, einen sicheren Webhost verwenden und die bewährten Sicherheitsmethoden einhalten (z. B. nur gesalzene Kennwort-Hashes speichern, PCI-DSS einhalten usw.).

Wenn dies Ihre erste E-Commerce-Site ist, ist es wahrscheinlich am besten, die Zahlungsabwicklung außerhalb der Site zu verwenden und die Integrationshandbücher genau zu beachten (z. B. den Abschnitt zum Sichern von Website-Zahlungen im Paypal-Standard-Integrationshandbuch). Das einzige andere, was ich mir vorstellen kann, ist zu vermeiden, E-Mails zum Verwalten von Bestellungen zu verwenden. Der Grund dafür ist, dass ein böswilliger Benutzer eine Bestellbenachrichtigungs-E-Mail fälschen kann, ohne tatsächlich eine Bestellung aufzugeben. Überprüfen Sie daher immer Ihr Paypal-Dashboard, um Bestellungen zu verwalten/zu verifizieren.

0
Lèse majesté