security - 没有 SSL 的在线商店安全吗？商家帐户页面有 SSL，不过

Question

我正在使用 Wix 设计在线商店。

他们有一个很棒的图形界面，允许像我这样的非开发人员建立一个看起来很专业的在线商店。

但是，由于我是网络安全方面的菜鸟，我有这个顾虑——Wix 网页在其页面内不支持 SSL。但是一旦客户点击结帐开始付款流程，他就会从 Wix 站点重定向到商家帐户页面(如 paypal 等)。商家支持 SSL。

我假设虽然 Wix 网页不支持 SSL，但客户不会有任何风险，因为他将在商家帐户页面中输入他的信用卡信息等。它是否正确？如果我不清楚，这里是 Wix 对此事的解释:

Is Wix eCommerce secure?

When a customer makes a purchase on a Wix eCommerce site or a site with a PayPal or the Add to Cart button, the only information added by the customer on the Wix site is the product and any product options. Once a customer clicks Checkout, the customer is redirected away from the Wix site and to your merchant account page. Any personal or payment details that the customer has to enter are therefore not entered on the Wix site but rather on the merchant account site which is secured by the merchant account. For more information about exactly how they encrypt and secure payment information, please contact the relevant merchant account.

我也只承担这种风险(从客户的角度来看)。 Wix 网站不支持 SSL 会不会有更多的风险？也许入侵网站或其他什么？ (从卖家的角度)

Answer 1

这个问题可能更适合 serverfault.com。但由于它与开发有关，我会尽力回答它:

当连接未通过 SSL(或任何其他安全措施)传输时，流量是可拦截和可延展的。这意味着你不能相信你得到的数据实际上是来自用户的，没有改变。此外，如果没有中间人窥探或更改数据，用户无法相信他实际上是在直接与您的服务器对话。

鉴于支付系统是一个允许 SSL 的独立系统，因此您遇到了最明显的安全问题。然后由您评估是否可以将达到该点的任何内容视为敏感。 (例如用户名和密码，如果商店需要登录)。

一个好的经验法则是“任何人都可能知道任何未加密的内容。此外，它也是可以更改的。”假设用户想要下订单，然后单击相应的按钮，然后进入支付系统的链接。现在，如果 MITM 攻击者想要窥探信用卡详细信息，他可以拦截流量并替换按钮和链接以诱使用户进入他自己的系统，使其看起来像您的系统，其唯一目的是收集信用卡详细信息。像这样的攻击是可能的，因为普通用户不知道或不关心接受来自不受信任来源的证书的危险，并且除非提高对这个问题的认识，否则很难打击。我曾看到网上商店在访问支付系统之前显示警告，提示用户需要验证证书是否确实来自他们的服务器，并且该 URL 仍然指向他们的网上商店。

...但我离题了。总结一下:您已经确保了重要部分的安全。至于其余的，有一些陷阱，但如果处理得当是可以控制的。