sitio web de comercio electrónico que usa HTTP de texto sin formato pero que redirige a PayPal durante el proceso de pago

Question

sitio web de comercio electrónico que usa HTTP de texto sin formato pero que redirige a PayPal durante el proceso de pago

#1 de mertmumtaz (1 votos)
#2 de ThoriumBR (1 votos)

1

Necesito comprar algunos artículos (camisetas, DVD, etc.) en un sitio web de comercio electrónico antiguo que no se ha actualizado desde hace tiempo y no usa HTTPS para cifrar los datos en tránsito. El sitio web no tiene ningún mecanismo de autenticación implementado, no puede crear una cuenta en el sitio web. Solo le permite buscar productos y agregar artículos a una cesta de la compra. La sección de la cesta de la compra muestra el precio total de sus artículos y también proporciona una manera de calcular sus costos de envío según su país y el código postal. Toda esta información no está cifrada, ya que todo el sitio web utiliza HTTP de texto sin formato.

No puedo ingresar la información de pago en el sitio web y completar mi proceso de pago. El sitio web tiene un solo método de pago: "Pagar con Paypal".

Tan pronto como hago clic en el botón "Pagar con Paypal", me redirige al sitio web seguro de PayPal donde puedo iniciar sesión y realizar una compra. Nota: en realidad no he intentado iniciar sesión en PayPal porque estaba preocupado de que la información de inicio de sesión / verificación fuera devuelta de alguna manera al sitio web HTTP principal sin cifrar en una etapa posterior. Tampoco sé si hago una compra a través de PayPal, el proceso de pago y las etapas de transacción se completarán en el sitio web de PayPal en lugar de en el sitio web principal de HTTP.

La pregunta que tengo es la siguiente:

¿Sería seguro para mí comprar artículos en ese sitio web dado que no se guarda información confidencial (aparte del costo total de los artículos en la cesta de la compra y los costos de envío) en el sitio web, y todo el proceso de pago parece ser ¿sucederá solo en el sitio web seguro de PayPal (aunque no estoy seguro al 100% porque aún no he realizado una compra a través de PayPal)?

¿Compraría un producto en un sitio web de este tipo y pagaría con PayPal sin preocuparse de que su información pueda verse comprometida por un atacante de tipo intermediario?

encryption http e-commerce payment-gateway paypal

pregunta Alex 25.06.2018 - 17:23

fuente

2 respuestas

Lea otras preguntas en las etiquetas encryption http e-commerce payment-gateway paypal

FortiClient VPN - WinSCP (cliente FTP) ¿Es seguro agregar una dirección IP al registro SPF?

score 1 · Answer 1

A menos que esté ingresando la información confidencial (es decir, la información de la tarjeta de crédito) en el sitio, está bien. Piénsalo de esta manera, di que estás en la calle, justo afuera de un banco. Todos pueden ver dónde se encuentra, qué está haciendo, etc. Sin embargo, para realizar una transacción, ahora entra en alguna oficina de transacciones aleatorias en el banco. Claramente, nadie en la calle puede ver realmente lo que está haciendo, ni siquiera su ubicación exacta. Usted completa la transacción, luego regresa y camina por la calle, después de haber completado la transacción. Nadie en el exterior vio nada. Ahora, por supuesto, algunas de las personas en la calle pueden sospechar que acabas de realizar una transacción en el banco y te apuntan, pero a menos que lleves la información confidencial contigo a la calle, no podrán encontrar nada. La calle en este caso es el sitio web HTTP aleatorio en el que se encuentra y el banco es PayPal.

score 1 · Answer 2

Lo que describe es cómo funcionaron la mayoría de los sitios de comercio electrónico en la última década, cuando los certificados SSL eran complicados y caros.

Este tipo de sitio no procesa los pagos por cuenta propia, sino que los delega a un tercero de confianza, como PayPal, Alipay u otra pasarela de pago. En este caso, no se almacenan datos financieros en sus sistemas, sino solo los detalles de entrega: productos y cantidades, nombre de usuario y dirección, etc. Reduce la complejidad y la cantidad de datos que deben mantener a salvo.

En este caso, la tienda generará una identificación y valor de transacción y lo redireccionará a PayPal, que le solicitará los detalles de pago y, si la transacción es exitosa, lo redirigirá nuevamente al sitio del comerciante.

Existe un riesgo muy pequeño de que alguien detecte que está pagando algo en este sitio y que modifique la identificación de la transacción a otra, por lo que pagaría por su transacción. Seguramente verá en la página de confirmación que su nombre y dirección son diferentes y podría llamar al sitio para revertir el pago. Pero dudo seriamente que alguien pueda ejecutar este tipo de ataque.