Quelques marchands en ligne proposent des offres spéciales pour utiliser Visa Checkout , un service de paiement similaire à PayPal, alors j'ai essayé d'apprendre quelque chose à ce sujet avant de vous inscrire. Lorsque vous êtes sur un site commercial et cliquez sur l'icône Visa Checkout, il apparaît une fenêtre pour entrer votre nom d'utilisateur et votre mot de passe de Visa Checkout:
Ce schéma est-il sécurisé? Je ne vois rien qui me permet de vérifier que cette popup est valide et protège mes informations. Il semble qu'un site voyou pourrait facilement simuler la popup et récolter les informations d'identification de connexion.
Avec PayPal, je suis dirigé vers le site PayPal pour vous connecter, ce qui permet à mon navigateur me montrer l'hôte PayPal et l'authentification TLS:
Si je vérifie ces articles dans la barre d'URL, je me sens raisonnablement confiant que je fournis mes informations d'identification uniquement à PayPal.
Le régime PayPal est-il plus sécurisé que la caisse Visa? Ou y a-t-il un moyen de me manquer de protéger contre les éclaboussures?
Le problème que vous mentionnez est un vrai.
Ce schéma était un sujet de critique et a conduit à une mise en œuvre récente ("3D sécurisé par ...", l'ancienne utilise malheureusement également ce nom) qui est deux facteurs (vous obtenez habituellement un SMS Avec un code, vous devez entrer sur la page du marchand). Vous êtes également averti de l'opération à venir ("Vous allez maintenant être transféré à 3D Secure ..."). Le programme que vous mentionnez n'a pas réussi à passer la Banque centrale européenne conditions.
Les exigences relatives aux paiements de commerce électronique ont été renforcées avec le PCI-DSS SAQ A-EP , spécialement conçue pour les paiements de commerce électronique modernes (où vous n'êtes pas redirigé vers une banque ou une page de processeur pour remplir votre paiement. ))).
La redirection à PayPal dans votre exemple est un bon compromis - vous entrez dans une page mieux connue qui, comme vous le mentionez, vous pouvez analyser et vérifier la sécurité de bon sens (précisément à qui le certificat a été livré à).
Ce schéma est-il sécurisé?
La sécurité n'est jamais absolue, il est donc impossible de répondre à ce que cela soit "sécurisé".
Dans le scénario de visa, vous placez essentiellement votre confiance en newegg. Dans les coulisses, la popup Visa utilise probablement TLS, mais à toutes fins utiles, NEWEGG pourrait vous servir à un écran de phishing et que vous auriez du mal à dire. Tout ce que vous savez, c'est que vous avez une connexion sécurisée avec NewEgg.
Dans le scénario PayPal, vous pouvez facilement vérifier la connexion TLS et l'URL vous-même, mais cela ne signifie pas que PayPal est sécurisé ou fiable. Vous devez toujours faire confiance à PayPal.
Cela revient essentiellement à la confiance de la confiance. Si NewEgg est approximativement aussi digne de confiance que PayPal, ils sont tous deux aussi sûrs. Si NewEgg est moins digne de confiance, la solution PayPal est plus sécurisée.
Si au lieu de PayPal, une partie moins digne de confiance était une implémentation identique à PayPal impliquée, la solution VISA pourrait être plus sécurisée.
Il semble qu'un site voyou pourrait facilement simuler la popup et récolter les informations d'identification de connexion.
Si vous ne faites pas confiance au site, vous devez préférer la mise en œuvre de PayPal. Si le site est digne de confiance, la différence de sécurité est minimale.