web-dev-qa-db-ja.com

Groovesharkはhttpsではなくクレジットカードを受け入れますか?

グルーブシャークがどうやってそれを回避するのかと思っています。

Httpsで暗号化されていない接続を介してクレジットカードを受け入れます。

彼らがこれを安全にするために何かすることはありますか、またはgroovesharkのどこでもサブスクリプションを購入するときにクレジットカードの詳細を送信するべきではありませんか?

1
Hailwood

クレジットカード情報の送信はHTTPS経由で行われます。 Google Chromeの開発ツールに含まれているようなネットワークロガーを使用している場合、実際に個人情報を含む送信リクエストはhttps:// URLに送信されることがわかります。

しかし、それは物語の半分に過ぎません:form pagewhereinputその情報は安全な接続を介して送信されません。実際のクレジットカード情報を暗号化することは、パッシブネットワークの盗聴者からあなたを保護するのに十分ですが(そして、関連するクレジットカードの法律や規制を満たすのに十分です)、それはnot転送中のGroovesharkのページデータ。このシナリオを想像してください:

Groovesharkはフォームを含むHTMLページを送信するため、クレジットカード情報を入力できます。このページのコードは、クレジットカード情報をHTTPS経由で安全にGroovesharkに送信します。ただし、攻撃者はあなたに届く前にページを傍受し、ページ上のコードを変更してクレジットカード情報を異なる宛先に送信します(おそらく、 1つは攻撃者によって制御されます)。

現実世界の例えは、雑誌を運営していて、私の住所を記した特別な安全な封筒を配って、購読料を申し込むためにお金を送ってあげることです。安全な方法で配布する代わりに、だれでも利用できるように公開しません。その後、悪意のある人がやって来て、封筒に印刷された提出アドレスを自分の自宅のアドレスに変更します。そのため、誰かがサブスクリプションでメールを送信すると、代わりに彼に送信されます。

誰かがあなたのインターネット接続を積極的に改ざんしていますか?おそらくそうではありませんが、インターネットメッセージはセキュリティを念頭に置いて設計されていないインフラストラクチャ上で無数のホップを経由して中継されるため、確かに言うことは残念ながら不可能です。

1
apsillers

クレジットカードを受け入れるにはhttpsが必要なため、[送信]をクリックしたときにhttpsのみを使用する場合があります。これを確認するには、ページのソースを表示し、フォームの送信先を確認します。

0
Joe Block