Могу ли я использовать шифрование JS вместо SSL для платежей по кредитным картам?

Question

У меня есть HTML-форма, где люди могут совершать платежи на моих сайтах. Вместо использования SSL я задаюсь вопросом, могу ли я использовать библиотеку JS, которая зашифровывает информацию о кредитной карте и отправляет ее на сервер в виде открытого текста, но зашифрованный, чем сервер расшифровывает. Я нашел несколько библиотек, которые делают это, они в основном запрашивают пару ключей с сервера, шифруют ее и отправляют на сервер в зашифрованном виде. Вот те, которые я нашел:

http://www.jcryption.org/

http://www.hanewin.net/encrypt/

http://www.vincentcheung.ca/jsencryption/

Это достаточно безопасно для платежей по кредитным картам? Я знаю, что сеанс не зашифрован, но единственное, что действительно имеет значение, это информация о кредитной карте, верно?

Answer 1

Помимо замечаний, сделанных всеми остальными, SSL является установленным стандартом, и каждый веб-браузер имеет встроенную поддержку этого стандарта. GUI браузера каким-то образом изменяется, чтобы я знал, что я использую безопасное соединение, и я могу проверить детали сертификата, если захочу.

Браузеры не поддерживают какую-либо доморощенную схему, которую вы придумали.

Answer 2

Стандарты PCI DSS теперь являются требованием, поэтому даже если вы можете сделать это с JS (что подробно обсуждалось на этой странице - вы не можете), вы все равно не получите одобрение PCI, так что вы не сможете не разрешается использовать его.

Если вы абсолютно не хотите покупать SSL-сертификат, обратитесь в службу оплаты. Большинство из них предоставляют стороннее решение, такое как Paypal, SagePay и т. Д., Когда вы перешли с вашего сайта на сайт провайдера, чтобы получить данные кредитной карты, а затем вернулись обратно.

Это снимает с вас бремя: а) быть послушным и б) купить сертификат SSL.

Answer 3

Абсолютно НЕТ

Если вы хотите принимать платежи по кредитным картам и не хотите делать это самостоятельно, есть сервисные организации, которые специализируются именно на этом.

Вот несколько:

2CheckOut, Affero, BTClick & Buy, CCAvenue, CCBill, CCNow, ClickBank, DigiBuy, DigitalCandle, FastPay, iBill, iKobo, ImagineNation, InstaBill, Jettis, Kagi, MembershipPlus, Moneybookers, MultiCards, MyCayx-Line, Party , Paymate, Process54, ProPay, Reg.Net, RegNow, RegSoft, Поделиться * It, StormPay, SWREG, V-Share, Verotel, VolPay, Yahoo! PayDirect.

Вот более полный список

Позвони им!

И, конечно, всегда есть PayPal

Answer 4

Нет, потому что вы все еще подвержены атаке "человек посередине".

Но вы можете использовать его, чтобы значительно снизить требования к соответствию PCI, потому что если вы шифруете номера кредитных карт с помощью открытого ключа, к которому у вас нет закрытого ключа, то вы переносите бремя соответствия.

Это поощряется даже платежными системами. Например, см. Статью Брэйнтри о шифровании на стороне клиента .