Проблема соответствия PHP, PCI: как? - PullRequest
Новая
       29

Проблема соответствия PHP, PCI: как?

1 голос
/ 21 сентября 2011

У меня проблема с соответствием PCI. В основном они хотят, чтобы я добавил https:// на каждую страницу, где присутствует поле password. это немного странно.

Моя форма в index.php выглядит так: 

 <form method=post action="login.php" id="login">
 <input type="text" size="16" maxlength="30" name="login" id="login_user" />
 <input type="password" size=16 maxlength="20"  name="pass" class="ifield" id="login_pass"/>
 <input name="msubmit" type="submit" value="Login" />
 </form>

Я пытался отправить на https: <form method=post action="https://test.com/login.php" id="login">, но тест все равно не прошел.

Как мне решить эту проблему?

Ответы [ 2 ]

4 голосов
/ 21 сентября 2011

Во-первых, вам необходимо настроить ваш веб-сервер для поддержки SSL.Вам нужно будет приобрести сертификат SSL и настроить свой веб-сервер так, чтобы он отвечал на запросы как на порт 80, так и на порт 443.

После того, как вы внесете эти изменения, вы сможете указать форму для публикации в версии SSLвашего сайта по указанному выше URL-адресу.

Если этого требуют правила соответствия, вам также может понадобиться загрузить саму форму в соответствии с версией сайта SSL.В этом случае вы можете обновить все свои ссылки на форму, указав версию 'https://', или изменить правила вашего веб-сервера, чтобы перенаправить все запросы формы на версию https://'.

0 голосов
/ 19 ноября 2011

С точки зрения объективной безопасности (не PCI), нет ничего плохого в том, чтобы заполнить форму, как она есть, а затем отправить ее через SSL на адрес https. Была ли страница, на которой изначально отображалась пустая форма, защищенной, не имеет значения, хотя многие думают иначе (ошибочно). Представление вашей формы на защищенной странице - это маркетинг - люди чувствуют себя более комфортно, когда вы делаете это. Отправка его через https является действительной безопасной частью.

Многие требования соответствия PCI являются гипотетическими или касаются маркетинга и представлений о безопасности, в отличие от реальной безопасности. Если ваш сканер помечает вас просто потому, что форма представлена ​​на странице, отличной от SSL, вы можете на законных основаниях оспорить этот вывод, поскольку это не влияет на безопасность. Если рассматриваемая форма, даже при правильном доступе, не позволяет получить доступ к управлению сервером или личной информации, то вы также можете на законных основаниях оспаривать результаты. Однако, если процесс входа в систему позволяет получить доступ к личной информации или управлению сервером, существует несколько причин, по которым он должен быть отправлен через безопасный порт.

...