私はいくつかの製品を販売するウェブサイトを持っています。単純な共有ホスティングでホストされ、SSLはありません。
製品ページには、各製品に今すぐ購入 myPaypalマーチャントアカウントから作成されたボタンがあります。 Paypalは、安全なボタンを作成して内部に保存するためにButton Factoryを使用することを推奨します自体。私は同じアドバイスに従いましたが、ボタンのコードは安全であり、製品または価格に関する情報を開示しません。
ユーザーが今すぐ購入ボタンをクリックすると、SSLでページが開かれるPaypalサイトに移動しますユーザーがクレジットカードと配送の詳細を入力します。トランザクションが成功すると、コントロールがサイトに返されます。
セキュリティが侵害される可能性がまだあるかどうかを知りたい。
CWE/SANS Top 25 Most Dangerous Programming Errors に目を通し、ファイルシステムへの不正アクセスによって引き起こされる可能性のある脅威を検討します(つまり、攻撃者が悪意のあるJavascriptをページに追加するとどうなりますか?)-共有ホストのセキュリティ慣行はプロバイダー間で大きく異なります。したがって、懸念の原因があると感じた場合は、ホストの提供内容と慣行を確認することをお勧めします。
絶対的ですが、製品の種類に依存する可能性は低いです。
デジタル製品/デジタルダウンロードについて話している場合、それはまったく別の側面であり、セキュリティの問題です。
Paypalトランザクションを確認してから、注文の完了/発送などの操作を手動で行う場合は問題ありません。ただし、確認ページに何らかのスクリプトが含まれている場合は、注文が完了したことを「ふり」することができます。等.
支払いに関係するものをホストしていないので、ターゲットを絞ったとしても、回復する(定期的なバックアップをとる)際のあらゆる種類の「問題」はダウンタイムに限定されますが、かなり安全である必要があります。
Danlefreeリンク先リストは、オンラインおよびオフラインのアプリケーションで最も一般的なセキュリティ問題の大まかな要約です(おそらくほとんどのプロジェクトで実行するのに適したチェックリスト)が、これらの一般的な懸念は別として、それほど多くのeコマース固有のPaypal標準のようなオフサイト支払い処理を使用している場合に心配する問題。
つまり、ユーザーがMITM(Man-in-the-Middle)攻撃のターゲットである場合、支払いが攻撃者のPaypalアカウントに流用される可能性があります(またはPaypal資格情報が盗まれます)が、これは本当にありそうもないシナリオIMO。ただし、安全にしたい場合は、SSL証明書を取得してサイト全体で使用する価値があるかもしれません。しかし、電子商取引に関連する主要なセキュリティ上の懸念は、PII(個人を特定できる情報)やその他の機密情報をオンサイトで処理し始めたときに初めて発生します。その場合は、TLS暗号化の使用を開始し、安全なWebホストを使用し、セキュリティのベストプラクティス(ソルトパスワードハッシュのみを保存する、PCI-DSSに準拠するなど)を順守する必要があります。
これが初めてのeコマースサイトである場合は、オフサイト支払い処理を使用し、統合ガイド(Paypal標準統合ガイドのWebサイト支払いの保護に関するセクションなど)に注意を払うことをお勧めします。私が考えることができる唯一の他のことは、注文を管理するために電子メールを使用することを避けることです。その理由は、悪意のあるユーザーが実際に注文することなく、注文通知メールを偽装する可能性があるためです。そのため、常にPaypalダッシュボードをチェックして、注文を管理/確認してください。