ugrás a tartalomhoz

Indokolt-e a https használata?

stan · 2009. Júl. 11. (Szo), 15.30
Ez nem programozási, inkább biztonsági kérdés.

Egy olyan oldalt készítek, ahol a felhasználóknak meg kell adniuk személyes adataikat (név, születési adatok, pontos lakcím), de ezen kívül a bankszámlaszámukat is meg kell adniuk regisztrációkor. Lényegében a cégnek, akinek csinálom majd a weboldalt, be lehet majd fizetni pénzt a cég bankszámlájára, ezért bizonyos szolgáltatásokat igénybe lehet venni. Ha valaki szeretné kivenni a pénzét, akkor a regisztrációkor megadott bankszámlaszámra kérheti a pénze elutalását.

Az utalást nem a weboldal végzi, hanem csak információt ad a cégnek, hogy ki milyen bankszámlaszámra szeretne pénzt, és az utalás már a bank rendszerén történik, de ahhoz csak a cég megfelelő embere férhet hozzá. Tehát a banki rendszer és a weboldal közvetlenül nincsen összeköttetésben. Így elméletileg nem történhet baj, mert a banki rendszerhez nem férhetnek hozzá a felhasználók.

A következő kérdéseket veti fel:

1, Kell-e https titkosítás mert bizalmas adatokat tárolunk, vagy nem kell, mert a banki adatokhoz úgysem férhet hozzá semmilyen felhasználó?

2, Személyes adatokat, különösen a bankszámlaszámot érdemes-e valamilyen titkosítással tárolni az adatbázisban?

3. Hagyhatjuk-e hogy a felhasználók szabadon változtathassák a bankszámlaszámukat, mert ha megváltozik, akkor ez a funkció jól jön, vagy pedig nem változtathatja meg, mert ez nem biztonságos?
 
1

Indokolt lehet

Joó Ádám · 2009. Júl. 11. (Szo), 16.28
Önmagában a személyes adatok szerintem nem igényelnék, de mivel erre a megadott számlaszámra pénz érkezhet, ennek megváltoztatása akár lehet célja egy támadásnak, tehát ha biztosra mész, akkor nem árt a HTTPS.