Безопасность и защита магазина

Тему хочется начать с самого первого вопроса. В админке в верхнем правом углу висит надпись

Цитировать
Вы не защищены безопасным SSL соединением
. Как я понимаю, в момент оплаты появляется опасность перехвата средств хакером, но возможны ли другие неприятности, связанные с отсутствием SSL-защиты?

Протокол SSL создает защищенное соединение между пользователем и сервером, и в это соединение невозможно просто так вклиниться. Магазин osCommerce 3 устроен так (как впрочем, и многие другие), что для оплаты используется сервер сторонней платежной системы, который как правило защищен протоколом SSL. Реально есть лишь угроза перехвата некоторых данных (за исключением платежных), которые могут быть перехвачены без протокола SSL. Кроме того, при редиректе после платежа из платежной системы, где был SSL на завершающем этапе - возникнет предупреждение что вы переходите на страницу, которая не защищена.

Магазин, который заботится о том чтобы личные данные клиента не ушли на сторону, должен применять SSL. Имея SSL на сервере, вы можете быть намного более уверенными в надежности защиты передаваемых пользователем Вам данных (от вклинивания в соединение). Западные клиенты очень мало доверяют магазинам, где нет SSL. У нас на просторах СНГ об этом пока мало думают.

Кроме того, если принимать кредитки по номеру прямо в магазине (без сторонних шлюзов), что в СНГ нигде не практикуется, то без SSL просто не обойтись.

« Последнее редактирование: 24 Авг. 2010 23:39:17 pm от musicman »

С SSL все понятно. Подключать столь дорогостоящую функцию к новому, неразвившемуся магазину не вижу резона...
Вопрос по правам доступа. Некоторые папки, например, для добавления товара, имеют права 777, иначе товар не добавляется. Для бекапов также нужны такие права. Но ведь этими правами может воспользоваться и злоумышленник. Сохранив в них свои файлы, он может забраться в админку и даже в серверную часть магазина и удалить его.
Как тогда быть? Загрузив товары, каждый раз менять права доступа?

В этих папках есть файл htacess - через него доступ к файлам без проблем блокируется.

Если на хостинг сервере работает suPHP то расстановка прав доступа уходит в сторону. Так же настоятельно рекомендуется устанавливать все заплатки по безопасности oscommerce, ибо для стандартного пакета существует очень много дырок в коде и XSS уязвимостей

О каких заплатках речь? Заплаток не было и они пока не требовались для безопасности... Вы наверное перепутали с версией 2.2

*

Spido

  • *
  • 1588

RogerK - смахивает на спамера.
Сейчас он с предупреждением и на модераторском контроле.

Помогите, пожалуйста, с установкой прав доступа в htacess. В каких папках и что ставить?

*

Love

  • *
  • 1943

(здесь есть ссылка, которая гостям не доступна зарегистрируйтесь или залогиньтесь)
Помогите, пожалуйста, с установкой прав доступа в htacess. В каких папках и что ставить?
Для чего? Заткнуть дырявые скрипты?

(здесь есть ссылка, которая гостям не доступна зарегистрируйтесь или залогиньтесь)
В этих папках есть файл htacess - через него доступ к файлам без проблем блокируется.

Это блокировать вручную нужно или уже все при установке встало?
или по другому спрошу: Какие действия по обеспечению безопасности стоит предпринять после установки магазина?

*

Love

  • *
  • 1943

(здесь есть ссылка, которая гостям не доступна зарегистрируйтесь или залогиньтесь)
(здесь есть ссылка, которая гостям не доступна зарегистрируйтесь или залогиньтесь)
В этих папках есть файл htacess - через него доступ к файлам без проблем блокируется.

Это блокировать вручную нужно или уже все при установке встало?
или по другому спрошу: Какие действия по обеспечению безопасности стоит предпринять после установки магазина?
После установки 3-й версии можно ничего не предпринимать, там админка по дефолту защищена, а если уж боитесть то поищите в инете Защита сайта с помощью .htaccess и .htpasswd там будет защищена полностью папка admin и придется два раза вход делать.

*

Love

  • *
  • 1943

Компания "Доктор Веб" сообщает о появлении новой модификации уже известного семейства вредоносного ПО Win32.Rmnet, способной заражать главную загрузочную запись (MBR). Благодаря этому Trojan.Rmnet запускается раньше установленного на компьютере антивируса, что значительно затрудняет детектирование и локализацию угрозы. Основное назначение этого троянца – кража паролей от популярных ftp-клиентов.

Вот почему вам кидают дрянь на хостинги.