Bezpieczeństwo Zakupów Przez Internet

[michal]

klienci kupujący przez internet są już doskonale uświadomieni i jeżeli nie ma NIPU, adresu i telefonu stacjonarnego w przypadku standardowego sklepu 9 na 10 osób NIC NIE KUPI !.

Mam pewne wątpliwości co do tego aby klienci sklepów internetowych byli w Polsce aż tak dobrze uświadomieni. Wydaje mi się, że informacje typu NIP, adres, telefon są potrzebne na stronie ale jeżeli chodzi o zakupy przez internet to ważna jest również prywatność i bezpieczeństwo transakcji.

Ostatnio w dziale "strony do oceny" pojawia się coraz więcej sklepów internetowych. Nie obejrzałem wszystkich ale te które widziałem miały jedną bardzo negatywną wspólną cechę. Otóz nie miały certyfikatu SSL.

Według mnie podstawą do prowadzenia handlu elektronicznego jest bezpieczeństwo transakcji, które w dużej mierze zapewnia SSL. Jednak nie można i tak do końca być pewnym, że taka transakcja będzie pewna, gdyż właściciel sklepu może później np. emailem wysyłać sobie numer karty kredytowej i szczegóły zamówienia, co się wogóle mija z celem bezpieczeństwa.

Chciałbym poznać Wasze zdanie na temat certyfikatów SSL. W końcu nie są one już takie drogie, a jednak mało kto w Polsce z nich korzysta.

W USA świadomość zakupów przez internet polega przede wszystkim na tym, że na stronie logowania czy tworzenia konta, klient od razu szuka złotej kłodeczki w przeglądarce.

[Hellz]

Zadam retoryczne pytanie: kiedy ostatni raz czytaliście CAŁĄ zawartość certyfikatu?

Ja osobiście zrobiłem to raz, może 2 razy w życiu, najczęściej kliknę akceptuj i dalej, jedynym wyjątkiem jest strona mojego banku.

Wydaje mi się, że można się pokusić o stwierdzenie, iż w Polsce mało kto zwraca uwagę na certyfikat. W zasadzie nikomu nie robi różnicy, czy zamówienie towaru odbywa się w sposób bezpieczny, czy też nie. Jedynie, jeżeli sklep posiada płatności kartą kredytową, to tam należy się poważnie zastanowić nad ssl. W pozostałych wypadkach jest to raczej niepotrzebny wydatek, bo:

+ tracimy czas na formalności związane z certyfikatem

+ musimy dostosować skrypt

+ musimy mieć odpowiedni serwer

+ musimy wykupić sam certyfikat

Z tego co wiem, zdecydowana większość rozliczeń w polskich sklepach odbywa się "Za pobraniem" - ludzie płacą dopiero, kiedy paczka przychodzi do ich drzwi. Sama gotówka nie jest zagrożona, a ludzie nie ufają sklepowi, którego nie widzą na oczy. Jedyną możliwą do przechwycenia rzeczą są dane osobowe klientów. Sklepy stosują odpowiedni punkt w regulaminie, że jeżeli ktoś włamałby się na serwer i wykradł dane, to oni za to nie odpowiadają i tyle...

Podsumowując - uważam, że w Polsce ssl powinno być używane tylko w markowych sklepach, które oferują min. zakupy kartą i gromadzą inne bardzo poufne dane. Nie sądze, żeby sami kupujący przywiązywali do tej kwestii tak dużą wagę, aby można było tracić klientów tylko dlatego, że nie ma się ssl.

[.Grzesiek]

Chciałbym poznać Wasze zdanie na temat certyfikatów SSL. W końcu nie są one już takie drogie, a jednak mało kto w Polsce z nich korzysta.

PolCard, eCard - dwie jedyne poważne moim zdaniem propozycje na naszym rynku, udostępniają implementacje skróconą, czyli wszystkie dane potrzebne do rozliczenia są podawane przez kupującego po stronie *Cardu, a te firmy korzystają z certyfikatów SSL, więc wszystko jest w porządku i nie powinno budzić wątpliwości.

Moim zdaniem jest mała potrzeba szczególnie dla sklepów internetowych, żeby korzystać z rozszerzonej implementacji, co również oznacza konieczność używania szyfrowanych połączeń, a co wiąże się z płaceniem haraczu jakiejś firmie za świstek papieru.

[michal]

Zadam retoryczne pytanie: kiedy ostatni raz czytaliście CAŁĄ zawartość certyfikatu?

Chyba się źle zrozumieliśmy. Mi chodziło o certyfikat, który jest rozpoznawany przez większość przeglądarek, a nie o certyfikat wystawiony przez "Super bezpieczny SSL - Michal poleca !".

jest to raczej niepotrzebny wydatek, bo:

+ tracimy czas na formalności związane z certyfikatem

+ musimy dostosować skrypt

+ musimy mieć odpowiedni serwer

+ musimy wykupić sam certyfikat

Ale przecież nikt nie powiedział, że prowadzenie działalności przez internet jest usłane różami i że można sobie dłubać w nosie a ciaćki będą leciały.

To są naturalne rzeczy i koszty, które należy wykonać i ponieść.

Jedyną możliwą do przechwycenia rzeczą są dane osobowe klientów. Sklepy stosują odpowiedni punkt w regulaminie, że jeżeli ktoś włamałby się na serwer i wykradł dane, to oni za to nie odpowiadają i tyle...

Rozumiem, nie wiedziałem, że większość transakcji odbywa się za pobraniem a nie kartą kredytową, co jeszcze .Grzesiek lepiej wytłumaczył w swoim poście.

Ja jednak cenię sobie swoją prywatność i nigdy nie podaję swoich danych osobowych bez szyfrowanego połączenia. Nie chce aby ktoś przechwycił moje hasło lub dane osobowe z konta w jakimś sklepie. Nawet jeżeli miałby tylko przejrzeć moją historię zakupów to czuł bym się inwigilowany.

A zapis w regulaminie mnie nigdy zbytnio nie interesował.

co wiąże się z płaceniem haraczu jakiejś firmie za świstek papieru.

Nie dostałem nigdy żadnego papierku, to jest wirtualny certyfikat.

[Hellz]

Chyba się źle zrozumieliśmy. Mi chodziło o certyfikat, który jest rozpoznawany przez większość przeglądarek, a nie o certyfikat wystawiony przez "Super bezpieczny SSL - Michal poleca"

Tak, może nieprecyzyjnie się wyraziłem. Np. mój bank ma certyfikat VeriSign, wchodzę zamówić dla matki kosmetyki ... a tam ssl no name, a na mailu, na allegro... nie wiem, nie sprawdzałem. Chodzi mi o to, że możesz sobie walnąć obojętnie jaki certyfikat i prawdopodobnie odniesie to taki sam skutek.

Ale przecież nikt nie powiedział, że prowadzenie działalności przez internet jest usłane różami i że można sobie dłubać w nosie a ciaćki będą leciały.

Tak, ale po co wydawać kilkaset złotych na coś, skoro i tak raczej niewiele osób zwraca na to uwagę? Moim zdaniem niepotrzebny wzrost kosztów, przynajmniej w przeciętnym polskim sklepie internetowym.

Nie chce aby ktoś przechwycił moje hasło lub dane osobowe z konta w jakimś sklepie. Nawet jeżeli miałby tylko przejrzeć moją historię zakupów to czuł bym się inwigilowany.

Ok, ale co z tego, że będzie ssl na połączenie, jak ktoś może włamać się na serwer? Moim zdaniem takie samo prawdopodobieństwo jak to, że ktoś przechwyci twoje dane osobowe i hasło.

[michal]

Tak, może nieprecyzyjnie się wyraziłem. Np. mój bank ma certyfikat VeriSign, wchodzę zamówić dla matki kosmetyki ...  a tam ssl no name, a na mailu, na allegro... nie wiem, nie sprawdzałem. Chodzi mi o to, że możesz sobie walnąć obojętnie jaki certyfikat i prawdopodobnie odniesie to taki sam skutek. 

Jasne, że skutek będzie taki sam, bo połączenie będzie szyfrowane, ale jednak wyskakujące okienko z informacją o nieznanym wystawcy certyfikatu jest gorsze niż brak certyfikatu wogóle.

Skoro Twój bank ma certyfikat Verisign (najdroższy z możliwych i nierozumiem po co ludzie jeszcze go kupują) to znaczy, że ma go źle zaisntalowanego lub ścieżki na stronach są błednie zdefiniowane i pobiera elemnty poprzez http anie https.

Tak, ale po co wydawać kilkaset złotych na coś, skoro i tak raczej niewiele osób zwraca na to uwagę? Moim zdaniem niepotrzebny wzrost kosztów, przynajmniej w przeciętnym polskim sklepie internetowym.

Certyfikaty można kupić od $29.95 na rok, więc wydatek nie jest taki duży. I w dodatku honorowane przez 99% przeglądarek.

Ok, ale co z tego, że będzie ssl na połączenie, jak ktoś może włamać się na serwer? Moim zdaniem takie samo prawdopodobieństwo jak to, że ktoś przechwyci twoje dane osobowe i hasło.

78391[/snapback]

No wiesz, w tym momencie to raczej przemawia przez Ciebie straszny pesymizm, tak jak bać się wyjść na ulicę bo może Cie tam przejechać tramwaj (np. na Jaracza w Łodzi )

Napewno łatwiej jest przechwycić sesję niż włamać się na serwer.

W Polsce świadomość (nie)bezpieczeństwa jakie niesie za sobą internet dopiero się rozwija. W USA np. coraz bardziej są popularne serwisy typu ScanAlert, które sprawdzają bezpieczeństwo serwera każdego dnia i możesz sobie wtedy wyświetlić obrazek Hacker-Safe.

Według mnie to przesada, ale ludzie są coraz bardziej ostrożni wybierając sklep do zrobienia zakupów.

Zjawisko znane jako "Identity theft" dotyka coraz większej ilości osób i niestety jest to coś bardzo poważnego. Miejmy nadzieję, że w Polsce do tego zbyt szybko nie dojdze, ale nadzieja jest ....

[Hellz]

Skoro Twój bank ma certyfikat Verisign (najdroższy z możliwych i nierozumiem po co ludzie jeszcze go kupują) to znaczy, że ma go źle zaisntalowanego lub ścieżki na stronach są błednie zdefiniowane i pobiera elemnty poprzez http anie https.

Ze stroną banku wszystko ok FireFox -> Pokaż informacje o stronie -> Zabezpieczenia -> Wyświetl

Nie znam się na certyfikatach, więc zapytam w tym wątku - te za 30$/rok dają ubezpieczenie do pewnej kwoty, jak VeriSign

VeriSign Secured Seal, a $250,000 warranty

- jednego z nich

Napewno łatwiej jest przechwycić sesję niż włamać się na serwer.

Możliwe, nie robię tego na codzień Jednak, żeby mieć pewność do zabezpieczeń serwera trzeba sporo na niego wydać. Poza tym, nawet US Army ma problemy z włamaniami na swoje serwery... Ssl na pewno znacznie podnosi bezpieczeństwo transakcji itp, ale żeby był sens, trzeba robić coś konkretnego, nie opłaca się dla sklepu z małymi/średnimi obrotami.

No wiesz, w tym momencie to raczej przemawia przez Ciebie straszny pesymizm, tak jak bać się wyjść na ulicę bo może Cie tam przejechać tramwaj

Z tym akurat nie jest mi do śmiechu, bo za czasów technikum dziewczynę z naszej szkoły przejechał tramwaj 15 metrów za wyjściem z terenu :|

Nie snuję jakiś tragicznych wizji, niczym Nostradamus, ale z tego co czytałem w książkach np. Kevina Mitnicka łatwiej jest złamać ludzi niż sprzęt. Dlatego jeżeli robiłbym serwis internetowy dla banku, to stawiam najlepszy serwer, najlepszy certyfikat, szkolę obsługę. Gdy robię mały/średni sklep to taki zwykły ssl w moim odczuciu daje tylko pewne złudzenie bezpieczeństwa. Jeżeli to ma wystarczać, to ok.

Miejmy nadzieję, że w Polsce do tego zbyt szybko nie dojdze, ale nadzieja jest ....

matką głupich, ale każda matka kocha swoje dzieci

[michal]

Nie znam się na certyfikatach, więc zapytam w tym wątku - te za 30$/rok dają ubezpieczenie do pewnej kwoty, jak VeriSign

Godaddy - $29.95 daje $1000 gwarancji.

Ja akurat korzystam z instantssl przez commodo, za $69 mam $100,000 gwarancji, teraz widziałem, że cena wzrosła do $79.99, co i tak jest tanio.

Poza tym, nawet US Army ma problemy z włamaniami na swoje serwery

Napewno US Army jest bardziej łakomym kąskiem dla hackera niż sklep.

Każde zabezpieczenie i każdy szyfr da się złamać, więc 100%-wego bezpieczeństwa nigdy nie ma, ale chodzi o to, żeby się nie narażać na niebezpieczeństwo, które krąży wokół Twojego serwera. Czasami warto zajrzeć do logów firewall, żeby się przekonać ile zautomatyzowanych prób włamu jest tam. Jak to zobaczyłem po raz pierwszy to się naprawdę zdziwiłem.

Ssl na pewno znacznie podnosi bezpieczeństwo transakcji itp, ale żeby był sens, trzeba robić coś konkretnego, nie opłaca się dla sklepu z małymi/średnimi obrotami.

Przy obecnych kosztach certyfikatu, małe/średnie obroty powinny bezproblemowo wystarczyć na zakup takiego. Jest to przecież bardzo mały wydatek, a daje przynajmniej poczucie bezpieczeństwa.

Z tym akurat nie jest mi do śmiechu,

Przepraszam, nie wiedziałem. Chodziło mi o przenośnie -> na Jaracza nie jeżdżą tramwaje.

Gdy robię mały/średni sklep to taki zwykły ssl w moim odczuciu daje tylko pewne złudzenie bezpieczeństwa. Jeżeli to ma wystarczać, to ok.

Może nie tylko, ale przede wszytkim chodzi o to, żeby klient czuł się bezpiecznie.

To co się robi z danymi po stronie serwera i w jaki sposób się je przechowuje to już inna bajka. Dla mnie bardzo ważne również, ale może na inny wątek.

ale każda matka kocha swoje dzieci

Dokladnie

[Erbit]

Chodzi mi o to, że możesz sobie walnąć obojętnie jaki certyfikat i prawdopodobnie odniesie to taki sam skutek. 

Mozna samemu takie certyfikaty wytworzyc i postawic serwer https...

Byc moze racja, ze skutek bedzie taki sam.

[michal]

Mozna samemu takie certyfikaty wytworzyc i postawic serwer https...

Byc moze racja, ze skutek bedzie taki sam.

78439[/snapback]

Poziom szyfrowania zależy od serwera, ale chodzi o poczucie bezpieczeństwa klienta. Jak klientowi nagle podczas zakupów wyskoczy komunikat, że połączenie jest bezpieczne, ale nie udało się potwierdzić tożsamości wystawiającego certyfikat, to taki klient w większości przypadków opuści stronę.

Większość ludzi nie ma pojęcia o tym jak działa szyfrowanie. My możemy tutaj sobie o tym rozmawiać, ale jeżeli chodzi o klientów to już z nimi nie pogadasz.

[Erbit]

Większość ludzi nie ma pojęcia o tym jak działa szyfrowanie. My możemy tutaj sobie o tym rozmawiać, ale jeżeli chodzi o klientów to już z nimi nie pogadasz.

Ostatnio kladzie sie nacisk (szczegolnie banki ale tez i media) na bezpieczenstwo (glownei wlasnie ssl) i byc moze swiadomosc naszych polskich internautow rosnie... Trudno jest oceniac ile osob zwraca uwage chocby na https. Tu na forum zaiste wiecej osob to robi, ale na pewno nie jest to grypa reprezentatywna do robienia ankiety na ten temat.

Osobiscie uwazam, ze swiadomosc polskich internautow jednak jest bardzo niska stad stawiam pod watpliwosc koniecznosc stosowania ssl przy zakupach internetowych a tym bardziej przy platnosciach 'przy odbiorze' czy 'przelewem' czyli wszedzie tam gdzie nie jest konieczne dokonywanie paltnosci kartą. Zresztą ktoż z nas ma czytniki do kart...

Moj bank proponuje mi cos takiago co funkcjonuje jak osobne konto (wlasnie dla dokonywania platnosci poprzez internet) Dzieki temu moge bez oplat ;przelozyc; (przelac) interesujaca mnie kwote na takie 'sztuczne' konto i z niego dokonac platnosci.

[nrm]

michal: tu jednak jest polska nie stany. moim zdaniem nikt nie patrzy na zadne certyfikaty i nie ma o nich zielonego pojęcia. ja bardzo duzo kupuje w necie, właściwie wszystko poza tym co sie kupuje codziennie do zycia i nie zwracam uwagi na jakies klodeczki tylko kupuje w porzadnych, sprawdzonych esklepach. prawde mowiac fakt posiadania takiego certfikatu nic na mnie by nie zrobil - oprocz mysli, ze podeszli bardziej profesjonalnie do sprawy. na pewni nie byłby to argument do zakupu/lub nie.

edit:// dobra, zjadłem, mam dwie rece wolne moge pisac

jeszcze chciałbym dorzucić:

1. w polsce mało kto płaci kartą. nie znam danych statystycznych ale imho jest to wartośc minimalna. ba, nawet z przelewami jest problem. wszyscy biora za pobraniem i tyle. bardzo mnie to wnerwia bo na ogól nie ma rozrózniania kosztów przesyłki i czy płace za pobraniem czy przelewem to musze bulić ta sama kasę - na ogół 9-10 zł. przykład? walony merlin.pl -> juz u nich nie kupuje.

na szczęście sa jeszcze sklepy które mają nizsze ceny przesyłki (czyli realne koszty) przy płaceniu przelewem. a nawet sa takie, które przy zapłacie on-line np,. poprzez mbank/inteligo biora przesyłke na siebie np. helion.pl -> uwielbiam tam kupowac ksiązki! płacę natychmiast mtransferem a książka za darmo leci do mnie priorytetem i bardzo czesto jest na drugi dzień!!

2. tydzień temu zamówiłem ksiązki w amerykańskim amazonie. prawde mówiąc nie wiem czy były tam jakieś "kłódeczki". ten temat spowodował, że chciałem sobie przypomnieć jakies certyfikaty - ale niestety nie pamietam. _chyba_ coś było. chyba. coś tam chyba wyskoczyło aby kliknąć

wali mnie czy przejmą mi numer karty bo mam tzw. karte internetową którą zasilam kasą tuz przed zakupami, a potem ew. nadwyżki zdejmuje. dziwne, że taki naród jak amerykanie bawia się w karty kredytowe i spore niebezpieczeństwo zamiast porobić sobie karty netowe i mieć w du**e cała reszte.

ps. ciekawe ile idzie paczka z amazona wyliczyli mi, ze moge czekac do połowy wrzesnia!!!

[michal]

michal: tu jednak jest polska nie stany. moim zdaniem nikt nie patrzy na zadne certyfikaty i nie ma o nich zielonego pojęcia.

Tak też zauważyłem i dlatego poruszyłem ten temat.

Wydaje mi się jednak, że świadomość internautów rośnie wraz z ilością zakupów dokonywanych przez internet. Właściciele stron powinni być przygotowani na to, że niedługo może to być w jakimś stopniu konieczne.

Taki stan jak jest teraz w Polsce, może wynika z tego własnie o czym pisałem wcześniej. Nie ma jeszcze zjawiska kradzieży tożsamości. W Polsce z tego co wiem dalej do uzyskania kredytu, itp. jest potrzebny podpis i jakieś wysyłanie papierków. Z jednej strony to może i dobrze.

//edit

2. tydzień temu zamówiłem ksiązki w amerykańskim amazonie. prawde mówiąc nie wiem czy były tam jakieś "kłódeczki". ten temat spowodował, że chciałem sobie przypomnieć jakies certyfikaty - ale niestety nie pamietam. _chyba_ coś było. chyba. coś tam chyba wyskoczyło aby kliknąć

Przecież chodzi o to, żeby nic nie wyskakiwało. Jak coś wyskakuje to znaczy, że certyfikat jest

1. źle zaisntalowany

2. przeterminowany

3. z nieznanego przeglądarce źródła.

dziwne, że taki naród jak amerykanie bawia się w karty kredytowe i spore niebezpieczeństwo zamiast porobić sobie karty netowe i mieć w du**e cała reszte.

Pewnie wynika to z innej specyfiki myślenia. Oni nie chcą się zastanawiać nad tymi rzeczami. Chodzi o to, aby było szybko. Nikomu by się nie chciało przelewać pieniędzy na kartę jak się robi zakup (mi by się nie chciało).

Większość zakupów na moich stronach trwa poniżej 10 minut. Ludzie wchodzą, dodają do koszyka co chcą, jak nie mogą znaleźć to niekiedy piszą w komentarzu, żeby dodać jeszcze jakiś produk, bo nie mogli znaleźć.

Chodzi o łatwość, szybkość i spokój w dokonywaniu zakupów. Ogólnie temat kłódeczek, poprzez media, jest ludziom znany i szukają ich.

Kłódeczka się tyczy IE, pod FF jak jest protokół https to czcionka w polu adresu ma inny kolor, pod operą tło adresu sie robi żółte i po prawej stronie pokazuje się informacja o szyfrowaniu.

[Hellz]

Nie przesadzajmy, w 10 dni kumpel dostał zegarek kupiony w Singapurze

Przecież chodzi o to, żeby nic nie wyskakiwało. Jak coś wyskakuje to znaczy, że certyfikat jest...

Mnie się wydawało, że FF zawsze pyta się, czy akceptuję certyfikat. Przynajmniej, gdy jestem pierwszy raz na jakiejś stronie.

[mrtn]

musiałem usunąć swojego posta bo był nie do tego watku sorry