Citat:
Ursprungligen postat av emilv
Att använda en subdomän under Loopias egen har flera nackdelar:
* Om kunden inte vet att du har Loopia som webbhotell är risken (ur besökarens synvinkel) för man-i-mitten-attacker stor.
* Domänen ser precis ut som sådana nätfiskeadresser man ska akta sig för. Hade du självt handlat av någon på adressen serios-webbutik.reallysecurehost.com? Jag hade stängt webbläsaren direkt.
* Om du byter webbhotell är risken överhängande att SSL-konfigurationen finns kvar påd et gamla webbhotellet. Vad händer i sådana fall?
* Vad har Loopia för policy angående namnet i domänen? Kan någon annan lyckas skapa en liknande adress och på så sätt lura besökare?
* Vad vidtar Loopia för säkerhetsåtgärder för att garantera att ingen annan tar över subdomänen? Är det lika säkert som vanliga vhostar?
* Certifikatet är utfärdat till Loopia, inte till dig.
Att använda SSL på en subdomän så som hos Loopia är helt enkelt inte speciellt säkert eller pålitligt. Dessutom får man, som du märkt, problemet med att man tappar sessionen. Fråga Loopia hur de tänkt att det ska lösas (antagligen har de tänkt dumpa det problemet på sina kunder).
|
Hej
Vi känner till att det finns en del förbättringar som behöver göras för SSL-sites, men några av dina punkter gäller i flera andra fall. Ett exempel är betallösningar.
När krav på PCI-certifiering infördes så ledde det till att många välkända webshoppar numera skickar besökaren vidare till en extern betalsida, vilket många verkar helt ok med.
/Jimmie Eriksson