forum.wszystkookawie.pl
Poradniki - czyli jak mam to zrobić? => Zakupy przez internet => Wątek zaczęty przez: pj.w w 15 Kwiecień 2018, 00:11:27
-
Pytanie, czemu logowanie do forum nie jest szyfrowane? Rok 2018, https nie powinno być czymś trudnym w implementacji.
Podobnie zresztą z popularnymi na forum palarniami: Mastro Antonio, Euro Cafe czy ostatnio reklamująca się cafepanemera. O ile jeszcze na forum nie podajemy pełnych danych osobowych to już w sklepie Internetowym tak. Z czego to wynika? Brak świadomości i wiedzy (może warto zerknąć do RODO)? Olewanie klienta? Koszt, coś koło 50 USD rocznie.
W przypadku sklepu Internetowego brak https, to moim zdaniem ogromne zaniedbanie i nie da się tego niczym usprawiedliwić.
Dobrych przykładów jest na szczęście więcej: akcesoria, coffeedesk, coffedrinkers, konesso, swiezopalona, ekspresdokawy, cafesilesia, xcafe. Czyli jak się chce to można.
-
Z czego to wynika? Brak świadomości i wiedzy
Myślę, że w 99% tak jest.
Koszt, coś koło 50 USD rocznie.
Da się to też załatwić za darmo (w niektórych hostingach).
-
Och, z braku czasu. Dlaczego o to zapytałeś? ;)
Zwykle takie sprawy działają i się aktualizują, gdy sklep wynajmujemy w jakiejś sklepowej platformie. Gdy masz własny serwer i software, musisz o to sam zadbać. Gdy jesteś sam, jest to dość ciężkie, niestety. Moje https czeka od listopada ubiegłego roku na wdrożenie.
-
Dlaczego? Już od jakiegoś czasu o tym myślałem ale nie miałem czasu sprawdzić na ile to reguła w kawowej niszy a na ile wyjątek. Co do sklepów brak szyfrowania przy logowaniu to na szczęście wyjątek ale dość smutny bo Wy, EC czy Java to jednak pod względem obrotów pewnie czołówka Polska, więc niejako wizytówka. Więc już nie czekaj ;)
Co do forum, to nie wiem jak inne inne polskie hobbistyczne, ale inne popularne kawowe za granicą z https korzystają.
Pal licho dane osobowe, ale wciąż dużo osób korzysta z takiego samego loginu i hasła do wielu serwisów. I tu się robi problem.
-
Powiem tylko że u nas nie jest totalna ignorancja ani brak świadomości.
Nasz hosting provider żąda za usługę wprowadzenia SSL, 20 zł w pierwszym roku a potem koszt tego klucza wynosi około 70 zł rocznie w zależności od dostawcy szyfrowania więc nie wiele, tak że ten argument odpada przy braku wdrożenia rozwiązania z SSL. Klucz można ustawić samodzielnie przez Direct Admin, więc i to nie jest bardzo skomplikowane i nie ma potrzeby zatrudniania informatyka.
Właśnie decyzja aby nie zbierać dane użytkowników ( z tego brak możliwości logowania ) wpłynęła na to aby pozostać przy starszej wersji sklepu. Czy brak SSL jakoś wpływa na bezpieczeństwo zakupów u nas? Sklep tylko udostępnia składanie ofert zakupu natomiast płatność już jest szyfrowana i odbywa się przez platformę Przelewy24 lub przez polecenie przelewu z konta swojego banku.
-
Dane osobowe są przesyłane bez szyfrowania od klienta do Waszego serwera. Jaka jest wartość tych danych i ryzyko przejęcia? Nie mnie oceniać ale jeżeli ja bym podejmował decyzję to wydałbym te 90 złotych rocznie aby zamknąć takie dyskusje.
-
Pawle, czy jesteś z branży IT? ???
-
ja tylko dodam, że zdarzało mi się tutaj podawać dane do wysyłki do palarni/sklepów w PW, zasadniczo niezbyt miły jest fakt, że być może można je kupić np. w darknecie... chm... słuszna uwaga Pejocie ;-)
-
??? :picardpalm:
-
co to za facepalm? upraszczam coś? być może się mylę, jeśli tak to uświadomcie mnie, ja utknąłem na HTML i animacjach we Flashu, jak chciałem ogarnąć JAVĘ i PHP, okazało się, że hardcorowa matematyka nie dla mnie ;-)
-
Gdy masz własny serwer i software, musisz o to sam zadbać.
własny soft :picardpalm: na dole witryny jest napisane że jest oparta o sky-shop.
Gdy jesteś sam, jest to dość ciężkie, niestety.
:picardpalm: wystarczy wybrać droższy wariant sklepu i o ssl zadba dostawca softu.
-
własny soft :picardpalm:
Tak, własny czyli na moim serwerze. Przecież napisałem dokładnie to, co Ty... :mrgreen: Nie musisz mi tłumaczyć. Dostawca softu zadba wtedy, gdy przejdę na jego serwer. Stanie się to wkrótce, gdy na liście priorytetów ta operacja trafi na moje moce przerobowe. Mój soft na moim serwerze -- dostawcy nic do tego.
@dziewiecset, nie zrozumiałem Twojego wpisu ;). Utknąłem jeszcze wcześniej.
-
Tak, Antonio, branża IT. Sugerujesz zboczenie zawodowe?;) Może trochę.
-
Sugerujesz zboczenie zawodowe?;) Może trochę.
Raczej bardziej niż trochę ;) Ale i przy okazji bardzo racjonalne w takim przypadku. Choć powiem szczerze, że chyba nie widziałem jeszcze forum z SSL...
-
Dlatego zerknąłem na kawowe zagraniczne. Logowanie zgodnie ze sztuką. Moim zdaniem dziś nie ma dobrych argumentów żeby https nie wdrożyć na forum.
-
Zgadza się. Dzięki za dobre intencje i przypomnienie.
-
Jedyny powód braku ssl na forum to mój chroniczny brak czasu. Mam to w głowie już od dawna, mam nadzieję, że to już kwestia tygodni, a nie miesięcy. Najprawdopodobniej stanie na Let's encrypt.
upraszczam coś?
Bardzo. "Szyfrowanie" utrudnia ataki typu "man in the middle". Nie ma większego wpływu na to, czy nasza baza pojawi się w darknecie, czy nie ;)
-
Panowie, a prawda jest taka, że SSL-e może trochę ograniczają "domorosłych" hakerów, ale odczytanie streamingu szyfrowanego przy pomocy SSL-a dla trochę bardziej ogarniętego przedstawiciela ciemnej strony mocy już nie stanowi obecnie problemu.
Poza tym nie wiem czy się wczytywaliście (o ile ktoś ostatnio odnawiał umowę) w zakres zgód matketingowych u np. operatorów interentowych czy telekomunikacyjnych? Rodo miało teoretycznie ograniczyć pojawianie się danych osobowych w różnych miejscach, a prawda jest taka, że obawiam się zasypu mocno agresywnych ofert marketingowych z różnych dziwnych firm krzaków. Reasumujac - nasze dane sprzedawane będą w większych ilościach i bardziej oficjalnie niż jest teraz :( i wszystko za naszą zgodą, niestety.
-
odczytanie streamingu szyfrowanego przy pomocy SSL-a dla trochę bardziej ogarniętego przedstawiciela ciemnej strony mocy już nie stanowi obecnie problemu.
Możesz rozwinąć temat? Podlinkować jakieś branżowe artykuły? Chętnie poczytam.
(...)zakres zgód matketingowych(...)
Ten akapit nie ma nic wspólnego z ssl...
-
odczytanie streamingu szyfrowanego przy pomocy SSL-a dla trochę bardziej ogarniętego przedstawiciela ciemnej strony mocy już nie stanowi obecnie problemu.
Możesz rozwinąć temat? Podlinkować jakieś branżowe artykuły? Chętnie poczytam.
Jak znajdę jutro chwilę czasu to poszukam i podeślę.
Oglądałam ostatnio webinarium dotyczące scenariusz ataku ukierunkowanego, który odbywa się całkowicie w komunikacji szyfrowanej (niestety jak to bywa z takimi darmowymi rzeczami, poza odrobiną teorii na ten temat było głównie pokazanie jak przeprowadzać analizę przypadku przy pomocy narzędzia "sponsora"). Ale pokazanie kierunku poszukiwań w temacie można zacząć. Dlatego też przyszło mi to do głowy.
A zgody marketingowe, to były raczej w kontekście tematu wypływu danych osobowych, który też został poruszony.
-
Podeślij, podeślij.
Chociaż przeczuwam, że pod przykrywką chwytliwego hasła "złamano ssl, co robić, jak żyć?" Są wymagane takie "okoliczności sprzyjające", że atak raczej nie ma szans się wydarzyć w rzeczywistości.
-
Tak na prawdę nic nie trzeba kraść, sami rozdajemy informacje w necie na lewo i prawo. Anonimowość w sieci była praktycznie od zawsze pozorna.
-
Najwięcej danych rozdajemy chyba przy podpisywaniu umowy na abonament na telefon ;) W t-mobile za nie podpisanie zgód marketingowych jest 5 zł wyższy abonament - ale wszystkie podawane ceny mają oczywiście odliczone te 5 zł, wychodzi to dopiero przy podpisywaniu umowy... "tu trzeba zgody marketingowe podpisać, bo jak nie to abonament będzie wyższy o 5 zł bo podane wszędzie ceny uwzględniają ten rabat"
-
Jak udostępnią linkę z webki, to nawet to Ci mogę wysłać ;)
Przyznam się, ze słuchałam trochę jednym uchem, bo dzwonili do mnie w tym czasie na stacjonarny w pracy, więc część mi wypowiedzi wypadła. Sama chętnie obejrzę ten fragment raz jeszcze.
I możesz mieć racje - to tak jak w prezentacjach na zarząd bywa - wykresy posiadają tak ustawione osie, żeby było pięknie ;)
Najwięcej danych rozdajemy chyba przy podpisywaniu umowy na abonament na telefon ;) W t-mobile za nie podpisanie zgód marketingowych jest 5 zł wyższy abonament - ale wszystkie podawane ceny mają oczywiście odliczone te 5 zł, wychodzi to dopiero przy podpisywaniu umowy... "tu trzeba zgody marketingowe podpisać, bo jak nie to abonament będzie wyższy o 5 zł"
Tak ma też netia - ostatnio wdałam się w dyskusję z panią, która nie potrafiła mi wyjaśnić dlaczego mam płacić 5 zł za to, że nie wyrażę zgody na przetwarzania marketingowe, chociaż mam do tego pełne prawo.
-
Ceny po prostu uwzględniają 5 zł rabatu za podpisanie tych zgód bo widocznie liczą na to, że klient i tak to zaznaczy(i tak mało kto czyta umowy, więc pewnie z automatu wszędzie postawi ptaki i nie będzie wiedział na co się zgodził).
-
Szczególnie, że jest punkcik w zgodach mówiący o profilowaniu treści transmitowanej :picardpalm: zastawiam się co mają na myśli?? Moje dane do logowania do banku??
(znalazłam "Wyrażam zgodę na przetwarzanie danych transmisyjnych w celach marketingowych, teraz i w przyszłości.")
I dopisek przy wszystkich zgodach "Zgoda jest niezależna od czasu obowiązywania umowy."
-
przetwarzanie danych transmisyjnych
I tu właśnie jest jedna z większych realnych korzyści z ssl - operator zobaczy z jakim serwerem się łączysz ale nie zobaczy jakie dane przesyłasz.
-
Włączyłeś ssl. OK. Tylko teraz chrome wyświetla mi ostrzeżenie "strona próbuje wczytać niezabezpieczone skrypty", po jego odblokowaniu wyskakuje... ten porąbany* pasek z ostrzeżeniem o kukisach a strona staje się "niezabezpieczona". Ktoś wie jak mogę z powrotem zablokować te skrypty? Bo pasek kukisowy wadzi mi bardziej niż ostrzeżenie przy adresie.
ps. już zablokowałem, wystarczyło się wylogować. Dokładnie "skrypty z nieuwierzytelnionych źródeł"
*porąbany bo przy słabym połączeniu wczytuje się z opóźnieniem (czasem znacznym) i muszę na niego czekać zanim otworzę kilka okien żeby się nie rozmnożył na wszystkie
-
Wyślij mi proszę na pw screen.
-
Posłałem screeny i log z blokowanymi skryptami.
A tak w ogóle to : :poklon:
-
Dzięki za logi. Powoli tropię resztki http, do końca dnia powinno być ok.
-
Ok, mixed content poprawiony.
-
Co się robi aby poprawić mixed content? Ustawiłem SSL na serwerze i wszystko jest OK, tylko strona na której są umieszczone zdjęcia poprzez html ma ograniczone bezpieczeństwo.
-
Prześlij mi na pw link do tej konkretnej strony.
-
Jak pisałem wcześniej, w naszym przypadku było to kwestią notorycznego braku "czasoprzestrzeni" i odkładaniem decyzji o przeniesieniu się na "dozorowaną" platformę. Powoli się odnajdujemy i konfigurujemy. W każdym razie SSL jest już włączony --> https://mastroantonio.pl/ (https://mastroantonio.pl/)
-
:ok:
-
I wątek do zamknięcia. :poklon:
-
Jak pisałem wcześniej, w naszym przypadku było to kwestią notorycznego braku "czasoprzestrzeni" i odkładaniem decyzji o przeniesieniu się na "dozorowaną" platformę. Powoli się odnajdujemy i konfigurujemy. W każdym razie SSL jest już włączony --> https://mastroantonio.pl/ (https://mastroantonio.pl/)
Tak przewijana grafika na pól strony. Kto to wymyślił :Bicz:
Zapisanie się do newsletter też na 1/3 strony. Podsumowanie tak samo. Najmniej widać kawy. Poprzednia strona była zdecydowanie czytelniejsza, gdzie kawy były na pierwszym miejscu.
-
Spoko, to na razie "protezka" do zmiany z czasem. Apropos kawy -- wystarczy tylko kliknąć w odpowiednią pozycję w menu (znacznie teraz czytelniejsze), by bannery się ukryły :).
-
I wątek do zamknięcia. :poklon:
Moc sprawcza godna pozazdroszczena.
-
Wiem wiem 😊 tylko napis kawa i banner
Po wybraniu już kawy jest ok. Dodałbym w filtrze wybranych kaw (espresso czy przelew) filtr po regionie - Afryką, Ameryką czy Azją. Czasami ktoś szuka kaw z danego regionu a nie jest dobry z geografii 😉