Bezpieczeństwo w praktyce....czyli krótki przegląd zabezpieczeń w kilku sklepach (2014)



Załóżmy, że teoretycznie SSL i HTTPS jest niezłamane... Czy sklepy internetowe we właściwy sposób dbają o dane Klientów i pozwalają im dokonywać zakupów tak aby wszystkim wokół nie było wiadomo co kupują ?

Pomyślałem, że zrobię krótkie podsumowanie kilku wybranych serwisów z naciskiem na te sprzedające ebooki (bądź co bądź są twory elektroniczne, więc i sklepy powinny być raczej nowoczesne):

  • woblink.com - jest HTTPS, w mailu jest informacja co zostało zakupione + faktura z danymi (ale za to rejestrując się można podać tylko emaila)
  • virtualo.pl - przeglądanie częściowo po HTTPS, w mailu jest informacja co zostało zakupione (ale za to rejestrując się można podać tylko maila i nick)
  • eclicto.pl - nie ma HTTPS do przeglądania produktów (jest do części stron takich jak logowanie, itp.), w mailu jest informacja co zostało zakupione
  • Allegro - brak możliwości przeglądania w trybie HTTPS (tryb ten pojawia się przy części stron z danymi użytkowników), możliwość wyłączenia niektórych powiadomień mailem, ale w mailu "Kupiłeś przez Kup Teraz" jest informacja o zakupie i dane sprzedającego, a w mailu "Wybrałeś sposób zapłaty i dostawy Twoich zakupów" i "Sprzedający .... otrzymał Twoją wpłatę" informacja o danych osoby kupującej. Podobnie z serwisu ebooki.allegro przesyłana jest mailem informacja co zostało kupione + faktura z pełnymi danymi
  • gandalf.com.pl - nie ma HTTPS do przeglądania produktów (jest do części stron takich jak logowanie, itp.), w mailu jest hasło do konta i przesyłana jest faktura z danymi osoby kupującej
  • merlin.pl - brak HTTPS do przeglądania produktów (jest do części stron takich jak logowanie, itp.), mailem przesyłane są pełne dane kupującego + informacja co zostało zakupione
  • publio.pl - nie ma HTTPS do przeglądania produktów (jest do części stron takich jak logowanie, itp. ale tylko częściowy), w mailu jest informacja co zostało zakupione + link do strony, gdzie można pobrać ebooka (bez logowania !)
  • BezKartek.pl - HTTPS używa niepoświadczonego certyfikatu, w mailu przesyłana jest informacja o tym, co zostało zakupione
  • aros.pl - sprzedaje tradycyjne książki, HTTPS używa niepoświadczonego certyfikatu z dziwnym adresem serwera, w mailu jest informacja o tym, co zostało zakupione + link do strony, gdzie można sprawdzić dane osoby kupującej, nie trzeba się za to rejestrować

Powiem tak - w dobie stosunkowo łatwego do podsłuchania WIFI i innych ciekawostek czy naprawdę tak trudno wykupić jest poświadczony certyfikat + przesyłać mailem np. tylko numer zamówienia (albo przynajmniej dać użytkownikom opcję wyłączenia powiadomień) ?

Czy naprawdę należy się w tym momencie obawiać Wielkiego Brata w sytuacji, gdy sami podajemy wszystko na tacy ? Ktoś powie, że to nieistotne co czytamy, niemniej jednak wybór lektur może powiedzieć dużo o danej osobie. Podobnie możliwość pobrania plików podpisanych czyimś adresem email bez autoryzacji.... brrr....

Kurtyna....