Bezpieczeństwo w praktyce....czyli krótki przegląd zabezpieczeń w kilku sklepach
Załóżmy, że teoretycznie SSL i HTTPS jest niezłamane... Czy sklepy internetowe we właściwy sposób dbają o dane Klientów i pozwalają im dokonywać zakupów tak aby wszystkim wokół nie było wiadomo co kupują ?
Pomyślałem, że zrobię krótkie podsumowanie kilku wybranych serwisów z naciskiem na te sprzedające ebooki (bądź co bądź są twory elektroniczne, więc i sklepy powinny być raczej nowoczesne):
- woblink.com - jest HTTPS, w mailu jest informacja co zostało zakupione + faktura z danymi (ale za to rejestrując się można podać tylko emaila)
- virtualo.pl - przeglądanie częściowo po HTTPS, w mailu jest informacja co zostało zakupione (ale za to rejestrując się można podać tylko maila i nick)
- eclicto.pl - nie ma HTTPS do przeglądania produktów (jest do części stron takich jak logowanie, itp.), w mailu jest informacja co zostało zakupione
- Allegro - brak możliwości przeglądania w trybie HTTPS (tryb ten pojawia się przy części stron z danymi użytkowników), możliwość wyłączenia niektórych powiadomień mailem, ale w mailu "Kupiłeś przez Kup Teraz" jest informacja o zakupie i dane sprzedającego, a w mailu "Wybrałeś sposób zapłaty i dostawy Twoich zakupów" i "Sprzedający .... otrzymał Twoją wpłatę" informacja o danych osoby kupującej. Podobnie z serwisu ebooki.allegro przesyłana jest mailem informacja co zostało kupione + faktura z pełnymi danymi
- gandalf.com.pl - nie ma HTTPS do przeglądania produktów (jest do części stron takich jak logowanie, itp.), w mailu jest hasło do konta i przesyłana jest faktura z danymi osoby kupującej
- merlin.pl - brak HTTPS do przeglądania produktów (jest do części stron takich jak logowanie, itp.), mailem przesyłane są pełne dane kupującego + informacja co zostało zakupione
- publio.pl - nie ma HTTPS do przeglądania produktów (jest do części stron takich jak logowanie, itp. ale tylko częściowy), w mailu jest informacja co zostało zakupione + link do strony, gdzie można pobrać ebooka (bez logowania !)
- BezKartek.pl - HTTPS używa niepoświadczonego certyfikatu, w mailu przesyłana jest informacja o tym, co zostało zakupione
- aros.pl - sprzedaje tradycyjne książki, HTTPS używa niepoświadczonego certyfikatu z dziwnym adresem serwera, w mailu jest informacja o tym, co zostało zakupione + link do strony, gdzie można sprawdzić dane osoby kupującej, nie trzeba się za to rejestrować
Powiem tak - w dobie stosunkowo łatwego do podsłuchania WIFI i innych ciekawostek czy naprawdę tak trudno wykupić jest poświadczony certyfikat + przesyłać mailem np. tylko numer zamówienia (albo przynajmniej dać użytkownikom opcję wyłączenia powiadomień) ?
Czy naprawdę należy się w tym momencie obawiać Wielkiego Brata w sytuacji, gdy sami podajemy wszystko na tacy ? Ktoś powie, że to nieistotne co czytamy, niemniej jednak wybór lektur może powiedzieć dużo o danej osobie. Podobnie możliwość pobrania plików podpisanych czyimś adresem email bez autoryzacji.... brrr....
Kurtyna....