Enviando información segura desde la aplicación con ssl

Navega tus respuestas
1

Soy un desarrollador web, pero de vez en cuando paso a hacer algo de desarrollo de aplicaciones móviles aquí y allá. Un cliente me pidió recientemente que les ayudara a desarrollar una aplicación muy simple. La aplicación es esencialmente solo un formulario HTML / jQuery que el usuario completa para reservar el servicio de mis clientes. Después de haber oído mucho sobre phonegap, decidí probarlo por primera vez, junto con jQuery mobile. Todo funcionó bien con la compilación de Phonegap, y después de probar el trabajo de iOS / Android.

Aunque, parte del formulario requiere que los usuarios ingresen la información de su tarjeta de crédito, por lo que mi cliente puede reservarlos con su propio sistema. La tarjeta nunca se procesa a través de la aplicación, la información se recopila y se envía (por correo electrónico) a mi cliente que utiliza su propia pasarela de pago.

Como utilicé phonegap para compilar la aplicación, simplemente usé action="https: //www.my-website-with-ssl.php" en el formulario. Como dije, tanto iOS como Adroid están enviando los correos electrónicos (a mi cliente) bien. Pero, ¿es esto seguro?

    
pregunta SpoonIsBad 31.01.2013 - 17:28
fuente

3 respuestas

3

El envío de la información de la tarjeta de crédito por correo electrónico es muy malo y probablemente sea una violación de su contrato de servicio comercial. Los detalles de la tarjeta de crédito deben estar protegidos en tránsito y el correo electrónico lo deja agitado en la brisa.

La conexión SSL al servidor o no para transmitir datos del formulario es irrelevante a menos que el servidor esté encriptando el correo electrónico para protegerlo e incluso entonces no es un canal muy bueno para usar en comparación con el almacenamiento de la información protegida en una base de datos (aún así es probable que requiera el cumplimiento de PCI-DSS) o simplemente que transmita directamente al usuario a la propia pasarela de pago para que evite por completo los problemas de cumplimiento.

    
respondido por el AJ Henderson 31.01.2013 - 18:45
fuente
0

Si ese formulario no está integrado en la aplicación y se entrega a través de un canal sin cifrar, es posible que un atacante lo cambie en tránsito a action=https://evil-site.com/carding.php .

Asegúrese de que todas las comunicaciones estén cifradas y de que los datos del usuario se validen completamente en el servidor.

Para asegurarse de que el marco interpreta la parte https , puede usar un proxy de intercepción para verificar los datos en vivo. Poner :443 después del nombre de dominio podría forzar a la conexión a usar solo el canal seguro.

Otro motivo de preocupación es la seguridad con la que el marco de PhoneGap utiliza SSL. Los navegadores clásicos solicitarán a los usuarios que tomen decisiones, mientras que los marcos tendrán comportamientos predeterminados para esos casos especiales. Cosas para verificar:

  • Cómo PhoneGap trata con certificados autofirmados que generalmente son una señal de que se está interceptando la comunicación.
  • El mismo caso para certificados caducados .
  • Para verificar certificados revocados , PhoneGap debe realizar acciones adicionales, como la comprobación de CRL y las consultas del servidor OSCP.
  • Validar restricciones básicas . Incluso iOS fue vulnerable a esto en 2011.
  • SSL fuerza de cifrado utilizada.
respondido por el Cristian Dobre 31.01.2013 - 18:07
fuente
0

NO envíe por correo electrónico la información de la tarjeta de crédito, lo que probablemente sea un mínimo de $ 500 para su cliente allí mismo, y sería su culpa por permitirlo.

    
respondido por el Ron Robinson 01.02.2013 - 12:33
fuente

Lea otras preguntas en las etiquetas

¿pkcs # 7 es adecuado para firmar y cifrar archivos zip? Servidor Python personalizado: ¿cómo protegerlo?