IRCERT - آيا معاملات اينترنتي امن، واقعاً امن هستند؟

صفحه اول > مقالات

آيا معاملات اينترنتي امن، واقعاً امن هستند؟

امروزه مرورگرها از تكنيكي به نام SSL (Secure Socket Layer) استفاده مي كنند تا اطلاعاتي را كه بين مرورگر شما و وب سرور مبادله مي شود، رمزنگاري كنند. هنگامي كه علامت «قفل» در گوشه پايين مرورگر نمايش داده مي شود، به اين معني است كه مرورگر ارتباط رمزشده امن با سرور برقرار كرده است و لذا ارسال ديتاي حساس مانند شماره كارت اعتباري امن است. اما آيا واقعا اين سيستم امن است و مي توان از اين طريق با اطمينان تراكنشهاي حساس مالي را رد و بدل كرد؟ پاسخ اين است كه SSL فقط ارتباط بين مرورگر شما و وب سرور را امن مي كند و براي محافظت از اطلاعات شما در آن سرور كاري انجام نمي دهد. در شركت هاي بزرگ كه مي توانند سرورها و خطوط ارتباطي با ظرفيت هاي بالا را اختصاصي و براي ارتباط مستقيم تهيه كنند، تا جايي كه شما بتوانيد به شركت اعتماد كنيد، مشكلي ايجاد نخواهد شد. اما بسياري از شركت هاي كوچك تر توانايي تهيه سرور اختصاصي را ندارند. آنها از «ميزباني شخص ثالث» استفاده مي كنند و اين جايي است كه عدم امنيت بوجود مي آيد. شما مجبوريد به ميزباني كه هيچ شناختي از آن نداريد، اطمينان كنيد و به ايمن بودن نحوه دريافت اطلاعاتتان از آن ميزبان توسط شركت مورد نظرتان اعتماد كنيد. اما تضميني براي ايمن بودن اين ارتباط نيست!

بيشتر ميزبان هاي وب براي كلاينت هاي خود يك برنامه (CGI (Common Gateway Interface ارائه مي دهند كه FormMail نام دارد. آنچه كه اين برنامه انجام مي دهد اين است كه محتواي يك فرم اينترنتي را، مانند فرمي كه شما اطلاعات كارت اعتباري خود را در آن قرار مي دهيد، مي گيرد و از طريق ايميل به شركت ارسال مي كند. براي اين ايميل نه محافظتي وجود دارد و نه رمزنگاري صورت مي گيرد.

آنچه كه اتفاق مي افتد اين است كه شركتي كه شما از آن خريد مي كنيد، ظاهري امن به خود مي گيرد تا شما اطلاعات حساس را وارد كنيد. سپس همان اطلاعات را از طريق ايميل معمولي براي شركت ارسال مي كند. در واقع تماي اين روال براي دادن يك احساس امنيت كاذب به شماست. بسيار هستند شركت هاي كوچكي كه سايتشان توسط شركت هاي شخص ثالثي ميزباني مي شود كه ابداً سرويس هاي امن SSL ارائه نمي كنند.

پرسش هايي كه مشتريان در ذهن شان ايجاد مي شود، معمولاً در باره نحوه ارسال اين اطلاعات و آگاه شدن خودشان از سفارش هايشان است و از طرف ديگر قرار دادن يك فرم امن آنها را قانع مي كند كه معامله با شركت مورد نظر از طريق اينترنت امن است و به دانستن نكات ديگر توجهي نشان نمي دهند.

توجه كنيد كه خود شركت ها مي گويند «هدف يك فرم امن راضي كردن كاربران به وارد كردن جزئيات كارتشان است». با خود فكر كنيد كه اگر ايميل كردن اطلاعات كارت اعتباريتان به شركت بدون استفاده از رمزنگاري، امنيت كافي را دارد، چرا خودتان اين كار را نكنيد؟ آيا احساس امنيت خواهيد كرد اگر بدانيد كه اين شركت (يا ساير شركت هاي مشابه) سهواً شما را فريب مي دهند كه معاملات به اين شكل امن است، در حاليكه نيست؟ هنوز، اين شركت ها مشترياني دارند كه به آنها پول مي دهند تا به آنها اين حس كاذب را بدهند.

ايمن كردن معاملات

با وجود تمام اين شركت هايي كه به تاجران راه هايي ارائه مي كنند تا به مشتريانشان اين احساس كاذب امنيت را بدهند، يك شركت كوچك بمنظور امن كردن واقعي معاملات، چه بايد بكند؟ يك روش براي آن شركت، استفاده از ايميل هاي رمزشده مانند PGP است. نسخه هايي از FormMail وجود دارند كه از ايميل رمزشده PGP استفاده مي كنند. در حاليكه بعضي از اين روش استفاده مي كنند، براي بعضي شركتهاي تجاري كوچك بدليل نداشتن افراد خبره براي تنظيم و استفاده از PGP، اين كار مشكل است. بعضي شركت هاي ميزبان اينترنت وجود دارند كه بخش سرور اين ارتباط را تنظيم مي كنند، اما در طرف كلاينت كه يك شركت كوچك تجاري است بايد بتواند PGP را روي كامپيوتر خود نصب و استفاده كند.

روش امن ديگر، ذخيره اطلاعات در پايگاه داده اي روي وب سرور اما در جايي است كه از وب دسترسي مستقيم به آن ممكن نباشد. زماني كه شركت ميزبان اينترنت قابل اعتماد نيست و يا قصد داريد امنيت بيشتري را به وجود آوريد، اين پايگاه داده مي تواند رمزنگاري شود. تاجران بعداً مي توانند اطلاعات مربوط به معاملات را با استفاده از ارتباط رمزشده SSL خود بازيابي كنند. اما در اين روش فروشنده بايد بتواند سيستم امن را براي خود ايجاد كند. اين عمل به ميزان مشخصي از تواناييهاي برنامه سازي احتياج دارد تا اسكريپت هاي CGI براي استفاده از اين سيستم نوشته شود.

بنابراين روند مورد نظر امن به اين شكل خواهد بود؛ فرم سفارش امن است و اطلاعات بين كامپيوتر مشتري و سرور بصورت رمز شده خواهد بود. در سرور، اطلاعات بصورت رمزشده در يك پايگاه داده ذخيره مي شود. سپس فروشنده از طريق ايميل از رسيدن سفارش ها مطلع مي شود (هيچ گونه اطلاعات مهم و حساس در ايميل ها قرار ندارد) و بالاخره، فروشنده اطلاعات را از طريق يك ارتباط امن ديگر بازيابي مي كند.

بنابراين، وقتي كه را ههايي براي تامين امنيت واقعي براي معاملات وجود دارد، چگونه بايد مشتري را مطلع كرد كه معامله واقعاً امن است يا خير؟ در حال حاضر راه ساده اي وجود ندارد. مشخصاً، شما مي خواهيد مطمئن شويد كه فرم امن است، بعلاوه مي خواهيد مطمئن شويد كه شركت به شما حس كاذب امنيت نمي دهد و اين حس واقعي است. يك راه اين است كه به سياست هاي حريم خصوصي آن شركت نگاهي بيندازيد (البته با اين فرض كه چنين چيزي وجود دارد) و مطمئن شويد كه در آن ذكر شده است كه «اطلاعات كارت اعتباري هيچ مشتري هرگز بدون رمزنگاري از طريق اينترنت ارسال نخواهد شد.»

بهرحال، هنوز روش كاملي براي تضمين امن ماندن اطلاعات وجود ندارد. بنابراين به جمله Caveat Emptor مي رسيم كه «بگذاريد خريدار خود آگاه و مواظب باشد.»