Является ли «Опубликовать» редактируемую информацию из не-SSL в SSL?

Question

Я просматриваю новый Authorize.net "Direct Post Method" для обработки транзакций по кредитным картам. Ранее моя компания использовала AIM от Auth.net для обработки кредитных карт, не покидая наш веб-сайт. Этот метод требует, чтобы у нас был SSL.

Однако этот новый DPM, который есть в Auth.net, говорит, что клиент все еще платит на нашем сайте, но нам не нужен SSL для безопасности. Это кажется немного странным для меня, но это то, что говорит Auth.net. Вы можете увидеть графики здесь: http://developer.authorize.net/api/compare/.

Итак, мой вопрос таков; если у меня есть страница, размещенная без ssl (http://etc. ..), которая отправляет в SSL (https: /// и т. д.), безопасна ли POST-информация?

Спасибо за любую помощь.

Answer 1

Технически, информация может быть защищенной в пути (после нажатия кнопки отправки). Но человек, заполняющий форму, не может знать, что она будет в безопасности (так почему они должны доверять вашему сайту?). В конце концов, если в строке URL-адреса не указано, что это страница HTTPS, откуда они должны знать, что она отправит сообщение на сайт HTTPS?

Я писал об этом однажды. Хотя меня обвинили в чрезмерной параноидальности, я по-прежнему утверждаю, что не буду доверять сайту данные моей кредитной карты, если обе страницы, с которых я отправляю (и, конечно,), SSL.

Посмотрите: весь смысл SSL в том, чтобы предотвращать атаки «человек посередине» (это все, что он делает). Если ваша форма не защищена, злоумышленник может изменить форму и отправить ее туда, куда он захочет.

Атаки «человек посередине» позволяют злоумышленнику изменять или отслеживать информацию во время передачи через Интернет. С распространением небезопасных беспроводных сетей, отравлением BGP, атаками на DNS и новыми уязвимостями, обнаруживаемыми каждый день, также становится все проще выполнять атаку «человек посередине».