Безопасность Интернет-магазина

Интернет-магазины отталкивают многих покупателей тем, что при оплате через Интернет существует реальная опасность кражи номеров кредитных карт. Если на счету кредитной карты лежит много денег, кража информации о кредитной карте может разорить покупателя.

Для владельца Интернет-магазина существует еще одна потенциальная опасность, а именно покупка товара с помощью украденных номеров кредитных карт.

В этой статье мы рассмотрим методы, позволяющие, с одной стороны, оградить покупателей от кражи конфиденциальной информации о кредитных картах, а с другой - оградить владельцев Интернет-магазинов от потерь, связанных с использованием украденных кредитных карт.

Откуда исходит угроза для покупателей

Совершая оплату через Интернет, покупатель заполняет специальную форму, вводя в ней среди прочей информации номер своей кредитной карточки. Далее он щелкает кнопку, и данные передаются через Интернет на Web-сервер Интернет-магазина или процессинговой компании, проводящей электронные платежи.

Проблема в том, что передаваемые подобным образом данные могут быть легко перехвачены злоумышленником. Если посетитель вводит в форме информацию о кредитной карточке, то, перехватив ее, злоумышленник сможет опустошить счет покупателя, совершая покупки от его имени.

Другая угроза исходит со стороны обслуживающего персонала Интернет-магазина или процессинговой компании. Системный администратор, как правило, имеет полный и ничем не ограниченный доступ к базе данных, что создает потенциальную угрозу для кражи конфиденциальной информации.

Однако при правильном проектировании Интернет-магазина все эти проблемы можно решить. Ниже мы расскажем о средствах, применяемых для усиления безопасности Интернет-магазинов.

Кодирование информации на стороне посетителя

Посетители обычно передают информацию на Web-сервер с помощью протокола HTTP в виде простого текста. Злоумышленник, компьютер которого подключен к той же сети, что и компьютер посетителя, (либо к той же сети, что и сервер Интернет-магазина), может легко перехватить всю передаваемую информацию. Аналогичным образом можно перехватить и весь трафик электронной почты.

Заметим, что такой перехват данных не требует от злоумышленника какой-либо особой квалификации. Для решения этой задачи имеется большое количество достаточно мощных программ, доступных для свободной загрузки из Интернета.

Как же защититься от "прослушивания" трафика?

Трафик между браузером посетителя и Web-сервером можно закодировать при помощи безопасного протокола HTTPS. Этот протокол предполагает применение криптографических средств для передачи данных, поэтому перехваченные данные будут бесполезны для злоумышленника. Для использования протокола HTTPS требуется соответствующая настройка Web-сервера, а браузер посетителя уже имеет все необходимые криптографические средства.

[Окончание следует...]