הייתכן? הזמנה באתר פיצה האט נעשית בטופס לא מאובטח
שילוב של רעב ועצלנות הובילו אותי לאתר פיצה האט. נרשמתי במהירות, בחרתי את מה שרציתי, ולחצתי על "הזמן". מה הופתעתי לגלות שהדף אליו הובלתי, הדף בו האתר מבקש ממני את פרטי כרטיס האשראי שלי, יושב על שרת רגיל לחלוטין ובלתי מאובטח ב-SSL (כרגיל, לחצו להגדלה):
הצצה בקוד ה-html של הדף מראה שהטופס גם לא נשלח לשרת מאובטח כלשהו.
הצצה בקוד ה-html של הדף מראה שהטופס גם לא נשלח לשרת מאובטח כלשהו.
אחד הדברים הראשונים שמלמדים כל מי שמתחבר לרשת הוא לא לבצע קניות או לתת את מספר כרטיס האשראי באתר לא מאובטח. דפדפנים מודרניים כגון פיירפוקס נותנים רמזים רבים המסייעים לזהות דף שרץ על שרת עם אבטח ssl דלוקה.
הייתכן? בימנו אלו, אתר כמו של פיצה האט לא טורח לעשות את הדבר המינמלי הזה?ומה שהרבה יותר מדאיג- אין לי (או לגולש אחר) את הכלים לבדוק מה קורה למספר כרטיס האשראי אחרי שהוא מגיע לשרתי החברה. אבל אם הם לא טרחו להפעיל הצפנה על הטופס, למה שארגיש בטוחה שהמספר נשמר אח"כ בצורה מאובטחת?
את הפיצה שלי הלילה כבר הזמנתי מאתר דומינוס...
השוו למשל את דף הכניסה המאובטח של gmail (כרגיל, לחצו להגדלה):
הייתכן? בימנו אלו, אתר כמו של פיצה האט לא טורח לעשות את הדבר המינמלי הזה?ומה שהרבה יותר מדאיג- אין לי (או לגולש אחר) את הכלים לבדוק מה קורה למספר כרטיס האשראי אחרי שהוא מגיע לשרתי החברה. אבל אם הם לא טרחו להפעיל הצפנה על הטופס, למה שארגיש בטוחה שהמספר נשמר אח"כ בצורה מאובטחת?את הפיצה שלי הלילה כבר הזמנתי מאתר דומינוס...
0 הפניות
Listed below are links to blogs that reference this entry: הייתכן? הזמנה באתר פיצה האט נעשית בטופס לא מאובטח.
TrackBack URL for this entry: http://www.xslf.com/mt/xslf-tb.cgi/455
לפני מספר שנים היה שירות שנקרא secureclick שהיה מספק מספר אשראי חד פעמי (לקנייה בודדת). חבל שחברות האשראי הפסיקו את המיזם הזה :(
הנחמה יחידה:
לפחות האתר עובד עם השועל בלינוקס
האם שלחת להם הודעה על כך?
אולי הם יכולו לתקן את זה הרבה יותר מהר ממה שאתה חושב
פרסמו את הכתבה שלכם ב-ynet
http://www.ynet.co.il/articles/0,7340,L-3464940,00.html
ואחר כך אנשים מתפלאים למה ההורים שלהם לא אוהבים להזמין באינטרנט.
בושה.