Massima sicurezza per dati sensibili...

[henry78]

Ciao a tutti

mi hanno commissionato un sistema di booking nel quale l'utente del portale lascia a garanzia della prenotazione i dati della carta di credito (Il pagamento avverrà in hotel).

A parte il funzionamento vero e proprio del sistema, ciò che mi preoccupa è il creare un sistema invulnerabile (per quanto possibile) dagli attacchi di chi vuole impadronirsi dei numeri delle carte.

Ovviamente il gestionale dal quale l'albergatore potrà accedere alle prenotazioni sarà protetto con una connessione sicura https; l'accesso avverrà con richiesta di nome utente e password, i dati delle carte saranno memorizzati in modo criptato.. ma più di così, cosa potrei fare?

Tra l'altro, il portale del mio cliente si trova su di un hosting che gli da uno spazio su di un server condiviso; posso stare tranquillo? Riuscite a darmi delle indicazioni utili?

[eiyen]

se come dici

i dati delle carte saranno memorizzati in modo criptato

, ferme restando le altre misure di sicurezza, non ci sono problemi... in pratica non devi memorizzare i numeri in chiaro, ma appunto con una criptazione (a una via): per la verifica si dovrà reinserire il numero e verrà effettuato il confronto con quanto già memorizzato (come succede normalmente anche con le password). In questo caso anche riuscendo a ottenere i dati presenti nel db si avrebbe un elenco di codici inutilizzabili. Potresti semplicemente usare una qualche variante dell'md5 per esempio.

[daniele_dll]

invece di usare una "variante" può benissimo utilizzare uno sha512 e stare apposto fin quando i computer quantistici non prenderanno piede, oppure invece di utilizzare un hash (md5 e sha1, e via dicendo sono HASH e non algorittimi di crittografia) può utilizzare qualcosa di più evoluto come RSA con chiavi da 4kbyte (4096 byte) ed essere apposto fin quando non arriveranno sistemi quantistici effettivamente utilizzabili dalle masse o da qualcuno che ti voglia male (ma visto quanto dovrebbe pagare per farne uso, beh, dovresti essere più ricco di zio paperone )

[henry78]

I dati delle carte di credito verranno memorizzati in modo criptato... però deve essere una critazione reversibile.. se memorizzo i dati con MD5 come farà l'albergatore a sapere il numero della carta?

[daniele_dll]

allora direi che dovresti solo decidere se effettuare una crittografia con chiave pubblica/privata o con unica chiave

fine li ^^

nel caso dovessi scegliere il secondo modo dovresti anche attrezzarti per accedere alla chiave privata tramite smartcard e browser cosi da, effettivamente, rendere utile la cosa perché se metti la chiave privata, che dovresti usare per la decodifica, pure sul server una volta che uno è dentro potrebbe prenderla e non aver combinato nulla, anzi

(è la soluzione che ti consiglio, perché quella di crittografare i dati con una chiave e basta è abbastanza vulnerabile ... se per caso al database ci accedono tramite qualche falla del tuo codice hanno accesso anche ai sorgenti e quindi alla chiave ^^)

[Marcolino's]

Puoi fare anche un'altra cosa, fatto salvo il modo di login al sito, i numeri delle carte di credito non le metti nel database ma in un file in puro testo.
Pazzo? No, seguimi.
Se sei su un sistema linux/apache la cartella che ti viene data per il sito è formata in questo modo /home/tuo_account/public_html/ in public_html/ c'è la root del sito, quella che chiunque, hacker o meno se non ti ruba l'accredito di accesso ftp vede, quella a cui fai riferimento con www.tuosito.caz
Qualsiasi cosa inserisci sotto quel livello è visibile solo agli script php che girano sul server e a chi ha l'account ftp.
Sta a te creare una procedura di login sicura e sicuramente non metterei tutti i numeri in un solo file, ma un file per ogni numero, così se uno per idiozia sua personale passa la sua password a qualcun altro o se la fa fregare, questi può vedere solo la carta di credito legata a quella password e non tutto il file.

[daniele_dll]

ehm ... nel 99% dei casi, tramite php, puoi accedere alla root dell'utente, comunque è una cosa facilmente verificabile tramite un phpinfo

[Marcolino's]

Originariamente inviato da daniele_dll
ehm ... nel 99% dei casi, tramite php, puoi accedere alla root dell'utente, comunque è una cosa facilmente verificabile tramite un phpinfo

Infatti il PHP deve accedervi ma non un utente tramite l'url del sito e in quanto al phpinfo un server "serio" ti impedisce di farlo o davvero vuoi che tutte le tue informazioni vadano in giro.
Questo non toglie che l'idea è buona.

[daniele_dll]

Originariamente inviato da Marcolino's
Infatti il PHP deve accedervi ma non un utente tramite l'url del sito e in quanto al phpinfo un server "serio" ti impedisce di farlo o davvero vuoi che tutte le tue informazioni vadano in giro.
Questo non toglie che l'idea è buona.

si ma parlavamo di sicurezza, se al database ci accedono per una falla delle pagine php possono accede anche al file (per altro è più facile accede tramite php che altro ... perché altro vuol dire bucare il server ^^)

[Marcolino's]

Originariamente inviato da daniele_dll
si ma parlavamo di sicurezza, se al database ci accedono per una falla delle pagine php possono accede anche al file (per altro è più facile accede tramite php che altro ... perché altro vuol dire bucare il server ^^)

In ogni caso qualsiasi cosa si può bucare, ma per un database non è necessario conoscere la password per bucarlo, basta una pessima programmazione dello script che vi accede per entrare, scaricare una tabella e senza aver mai saputo ne il nome dell'account e ne la password.
In genere un server di database si buca così, non "craccando" password, hai presente gli exploit? Immagino di sì.
Lo stesso dicasi per il server web, se si conosce un pannello di controllo al punto da conoscerne i lati deboli vi si può accedere allo stesso modo.
Quindi di chi ti fidi?