Varna in zaupanja vredna spletna trgovina

Kako v porastu kiber-kriminala uspešno voditi
Varna in zaupanja vredna spletna trgovina
Oziroma, kaj potrebujem, da bo moji spletni trgovini zaupal širok krog uporabnikov

varnostrn

Porast spletnih trgovin
V zadnjem desetletju smo priča velikemu porastu spletnih trgovin in ostalih »e-commerce« rešitev, posledično pa se, razumljivo, povečujejo tudi aktivnosti spletnih kriminalcev, ki bodisi z goljufijami izkoriščajo naivnost uporabnikov, ali pa lahko-miselnost tistih upravljalcev spletnih trgovin, ki neustrezno skrbijo za varnost in s tem nepridipravom omogočijo odtujitev osebnih podatkov svojih kupcev.

Uporabniki so zaradi slabih izkušenj in odmevnih zgodb v medijih vse bolj previdni pri svojem nakupovanju. Statistike kažejo, da spletni uporabniki levji delež spletnih nakupov opravijo pri ponudnikih v tujini, zmotno pa je prepričanje, da je cena edini razlog, da se tako odločajo. Pogosto je razlog tudi v tem, da veliki mednarodni spletni trgovci praviloma poskrbijo za pozitivno varnostno izkušnjo uporabnika, med tem ko se mali domači trgovci običajno to plat popolnoma zanemarijo.

Enkripcija, varnost in zaupanje
Za varno in zaupanja vredno spletno trgovino je naloga upravljalca, iz vidika varnosti, predvsem zagotoviti, da spletna stran vsebuje elemente prepoznave, ki so se jih uporabniki naučili prepoznati kot varne, ter da navsezadnje zaupanje tudi upraviči s skrbnim ravnanjem. Najpomembnejši dejavnik pri pridobivanju zaupanja je uporaba pravega varnostnega SSL potrdila. SSL potrdilo zagotavlja v svoji osnovni definiciji dve zadevi;

  • Podatki, ki se prenašajo med obiskovalcem spletne trgovine in samo spletno trgovino, se na podlagi SSL potrdila globoko šifrirajo, kar ščiti uporabnika, ter uporabnikove osebne podatke, ter po drugi strani, z izpostavitvijo t.i. »zelene pasice«, oziroma »green bar-a«, uporabnika obvesti, da je spletna trgovina, v katero je vstopil, pristna in vredna zaupanja.
    Na voljo je cela kopica SSL potrdil, od brezplačnih, do osnovni, plačljivih in v končni fazi naprednih potrdil, ki vsebujejo osebno preverjanje in ob uporabi upravljalca spletne trgovine nadgradijo s popolno zeleno pasico, ki poleg oznake, da je stran vredna zaupanja, izpostavijo tudi naziv spletnega mesta in prav slednji način je edini pravi način za uporabo pri spletni trgovini.
    Brezplačna SSL potrdila, kot je denimo sistem Let’s encrypt, ki ga že ponujajo nekateri ponudniki spletnih gostovanj je v osnovi namenjen SSL zaščiti najbolj enostavnim stranem, za katere do danes niti ni bilo v navadi, da so opremljene z SSL zaščito, in zaradi tega popolnoma neprimeren za uporabo v spletni trgovini. Takšna potrdila se izdajo samodejno, brez človekovega posredovanja, kar pomeni, da je pristnost takšnega potrdila mnogo enostavneje potrditi.
    Najbolj osnovna, že plačljiva, oblika SSL potrdila, denimo Comodo PositiveSSL, zagotavlja osnovno preverjanje pristnosti z minimalnim človeskim posredovanjem. Takšna oblika je načeloma primerna, iz tehničnega vidika, saj zagotavlja minimalne varnostne standarde, vendar nima znakov posebne prepoznave, že prej omenjene razširjene zelene pasice.
    Potrdilo SSL z naprednim preverjanjem, kar pomeni, da izdajatelj certifikata naročnika osebno preveri, tudi s telefonskim klicem, se v spletnem brskalniku izrazi kot razširjena zelena pasica, ki uporabniku takoj pade v oči in to je najpomembnejši razlog, da bi to moralo biti edino SSL varnostno potrdilo, sprejemljivo za spletne trgovine.

Gostovanje
Ko uporabnik spletnemu trgovcu enkrat zaupa, je dolžnost trgovca, da to zaupanje upraviči. Pomemben dejavnik pri temu je skrb za zaščito in ustrezna hramba osebnih podatkov. Spletno stran, in torej tudi spletno trgovino, je moč v splet umestiti na več različnih načinov. Najbolj osnovni, in s tem tudi najbolj ugoden način, je umestitev spletne trgovine v nek sistem skupinskega, »shared hosting«, gostovanja.
Podatki spletne trgovine, skupaj z vsemi osebnimi podatki kupcev, se v tem primeru hranijo v skupnem strežniku, ki si ga trgovina deli skupaj z nekaj sto, ali celo tisoč, drugimi spletnimi mesti. Noben ponudnik gostovanja na takšen način ne more zagotavljati, da ne bo prislo do vdora, ali zlorabe ranljivosti, na kakšni drugi od teh strani.

VPS način gostovanja bi moral biti za spletne trgovine takorekoč nek minimalni standard.
V sistemih VPS, pri ponudnikih ki to ponujajo na pravilen način, to smo ponudniki, ki VPS gostovanja ponujamo na osnovi strojne virtualizacije, in ne »paravirtualizacije«, oziroma virtualizacije na podlagi skupnega jedra operacijskega sistema. Tako so podatki, in deovanje, spletnega sistema hermetično ločeni od ostalih uporabnikov, ponudniki gostovanj pa pri takšnih oblikah lahko ponudimo izredno visoko, skoraj 100 odstotno zagotovilo za varnost. Posledično spletna trgovina, ki jo poganja sistem VPS, deluje bolje in bolj ozivno, kar z varnostnega stališča sicer ni pombmeno, nudi pa vseeno bistveno boljšo uporabniško izkušnjo, kar pa je pomembno.

Za uspešen zagon in upravljanje spletne trgovino tako še zdaleč niso ključni le privlačna vsebina, ugodna ponudba in nabor artiklov, temveč tudi pravilna umestitev spletne trgovine v spletni prostor, zato je priporočljivo, da se upošteva navodila strokovnjakov za spletno varnost, čeprav se morda v začetku zdi to nepomemben in odvečen strošek.

Pa smo res varni na spletu? Ocene spletnih strani

Že ptički čivkajo kako moramo skrbeti za svoje podatke, kako morajo različni spletni ponudniki varovati naše podatke, da se moramo upreti tistim, ki tega ne delajo….

Zadnje čase je takšnih sporočil in opozoril raznih spletnih portalov ogromno, še Google je pričel (oz. bo pričel) višje rangirati varne spletne strani (članek Google pravi: enkripcija spletnih strani si lahko preberte tukaj).

Ko je nekdo na FB objavil varnostno oceno portala eDavki, sem se kar zgrozila, pa sem si mislila, ok, saj ne more biti tako slabo. In tako sem se odločila, da tudi sama malce pobrskam po top straneh pri nas.

Poiskala sem katere so te top strani v Sloveniji, seznam sem našla na Alexa strani.
Izmed stotih (objavljenih je top 500) sem izbrala takšne, ki so se meni, kot iz strani uporabnika in potrošnika, zdele pomembne.

Za analizo strani uporabila Qualys SSL Labs, ki preverja varnost naših SSL certifikatov.

Kaj je SSL?

SSL certifikat je potrdilo za strežnik oz. spletno stran, ki ga izda pooblaščena organizacija. Certifikat zagotavlja, da je komunikacijski kanal med uporabnikom in strežnikom varen.

Kakšne rezultate sem dobila si lahko ogledate spodaj, če vas določena stran še bolj podrobno zanima pa lahko tudi sami pobrskate na zgoraj omenjenem testu strani.

Potrebno pa je tudi omeniti, da je varnost izrednega pomena pri straneh kjer se pretakajo osebni podatki. Za ostale strani je priporočljivo, da imajo takšno ali drugačno  zaščito, samo ta ni tako izrednega pomena.

Rezultati torej predstavljajo: Kako varni so podatki, ki se prenašajo med strežnikom in uporabnikom.

1. ZPS (zps.si)
Zveza potrošnikov slovenije: Slovenskim potrošnikom omogočajo boljše in varnejše nakupe.
zpsi
2. IP-RS (ip-rs.si)
Informacijski pooblaščenec. Pri katerem so med drugim v pristojnosti tudi varstvo osebnih podatkov.
IPrs3ePacient (epacient.si)
Portal za elektronsko naročanje zdravstvenih storitev.
epacient
4. ProKlik NLB (proklik.nlb.si)
Elektronsko bančništvo
kliknlb

5. Mojedelo (mojedelo.com)
Zaposlitveni portal.
mojedelo
6. AJPES (ajpes.si)
Agencija Republike Slovenije za javnopravne evidence in storitve.
ajpes7. Oglasi (oglasi.si)
Portal za oddajo ali kupovanje preko oglasov.
oglasi8. Telekom Slovenije (telekom.si)
Internet, telefonija, televizija. Nakupovanje, naročanje.
telekom9. Mimovrste (mimovrste.si)
Spletna trgovina
mimovrste10. 1nadan (1nadan.si)
Ponudnik kuponov
1nadan11. Nepremičnine (nepremicnine.net)
Portal za iskanje nepremičnine ali oddaje oglasa.

nepremicnine12. eUprava (e-uprava.gov.si)
Državni portal Republike Slovenije

eUprava13. eDavki (edavki.durs.si)
Elektronsko davčno poslovanje. Prek eDavkov lahko vložite večino obrazcev, ki jih morate kot davčni zavezanci oddati DURSu. Nekatere obrazce lahko oddate tudi brez certifikata.

edavki14. Bolha (bolha.com)
Oglasniški portal
bolha15. 24ur (24ur.com)
Novice
24ur16. Google Slovenija
Spletni iskalnik
googleZ zelo slabo popotnico sem šla preverit tudi spletne strani, ki se ukvarjajo izključno z opozarjanjem potrošnikov o varnosti na spletu. Ampak kot že rečeno, če se pri njih ne pretakajo osebni podatki, potem je varnost priporočljiva, ne pa obvezna (kot bi morala biti za nekatere).

1. Varni na internetu (varninainternetu.si)
varninainternetu2. Safe-si (safe.si)
safe3. Varni internet (varniinternet.si)
varniinternet4. Si Cert (cert.si)
cert

 

 

Google pravi: enkripcija spletnih strani

Pozor razvijalci spletnih strani, Google bo pričel uporabljal enkripcijo spletnih strani ali Screen Shot 2014-08-08 at 10.53.15 HTTPS kot signal za boljše rangiranje (pozicijo) spletne strani.

V uvajanju enkripcija strani še ne bo tako močan faktor rangiranja (kot je napr. kvaliteta vsebine), vendar naj bi se to čez čas spremenilo – bolj ko boste vlagali v varnost spletne strani, bolj boste pomembni.

Google naj bi razkril tudi najboljše primere s katerimi si bodo spletni razvijalci lahko pomagali in razumeli kaj morajo storiti in čemu se morajo izogniti.

Znano bo tudi katere vrste certifikatov boste potrebovali (SSL certifikati), povedali bodo kako uporabiti URLje za vire na isti zavarovani domeni, ter razkrili najboljše prakse glede indeksiranja strani…

Nekaj napotkov smo že prejeli:
1. Preučite kakšen certifikat potrebuje vaša spletna stran: navadni, več-domenski, razširjeni…
2. Uporabite 2048 bitni ključ
3. Vsi URL naslovi naj vsebujejo https
4. Ne blokirajte si svoje https spletne strani z uporabo robots.txt
5. Izogibajte se neideksiranim meta tag robotom

Prav tako pa se že lahko priključite razpravi o enkripciji na Googlovem forumu Webmaster Help Forums ali testirate svoje trenutne HTTPS z orodjem Qualys Lab tool.

Torej, preklopite (slej kot prej) na HTTPS in zavarujte svoje spletne strani s certifikati.