[SweLogan]

Hejsan, jag tror inte jag behöver ta upp hur loopias SSL lösning fungerar.
MEN, jag är inte säker om jag har gjort rätt för min webbläsare Chrome verkar inte gilla det. (https är rött med ett streck igenom) :/

https://xn--vggdekor-se-l8a.loopiasecure.com/Kassa/

Kan ni se något fel på sidan? Vad måste jag ändra på?

[JLE]

Du har gjort massor av fel. Du kan inte inkludera http:// script eller dylikt på en https:// sida. Exempel på fel du har gjort:

<script type="text/javascript" src="http://www.väggdekor.se/js/jquery-1.4.4.min.js"></script>
<script type="text/javascript" src="http://www.väggdekor.se/js/jquery-ui-1.8.7.custom.min.js"></script>
<script type="text/javascript" src="http://www.väggdekor.se/js/tree.js"></script>
<script type="text/javascript" src="http://www.väggdekor.se/js/load.js"></script>
<script type="text/javascript" src="http://www.väggdekor.se/js/ga.js"></script>

<script type="text/javascript" src="http://www.väggdekor.se/js/decode.js"></script>
<script type="text/javascript" src="http://www.väggdekor.se/js/kassa.js"></script>
<script type="text/javascript" src="http://www.väggdekor.se/js/jquery.validation-sv.js"></script>
<script type="text/javascript" src="http://www.väggdekor.se/js/jquery.validation.js"></script>
<script type="text/javascript" src="http://www.väggdekor.se/js/jquery.maskedinput.js"></script>
<link type="text/css" href="http://www.väggdekor.se/css/jquery.validation.css" rel="stylesheet" />
<link href='http://fonts.googleapis.com/css?family=Arimo:regular,italic,bold,bolditalic' rel='stylesheet' type='text/css' />

[SweLogan]

Nu har jag tagit bort allt som har med http:// att göra, men det vill sig inte ändå.
Ett annat problem är när jag går från http:// till https:// så tappar den min session för kundvagnen.

[emilv]

Att använda en subdomän under Loopias egen har flera nackdelar:

* Om kunden inte vet att du har Loopia som webbhotell är risken (ur besökarens synvinkel) för man-i-mitten-attacker stor.
* Domänen ser precis ut som sådana nätfiskeadresser man ska akta sig för. Hade du självt handlat av någon på adressen serios-webbutik.reallysecurehost.com? Jag hade stängt webbläsaren direkt.
* Om du byter webbhotell är risken överhängande att SSL-konfigurationen finns kvar påd et gamla webbhotellet. Vad händer i sådana fall?
* Vad har Loopia för policy angående namnet i domänen? Kan någon annan lyckas skapa en liknande adress och på så sätt lura besökare?
* Vad vidtar Loopia för säkerhetsåtgärder för att garantera att ingen annan tar över subdomänen? Är det lika säkert som vanliga vhostar?
* Certifikatet är utfärdat till Loopia, inte till dig.

Att använda SSL på en subdomän så som hos Loopia är helt enkelt inte speciellt säkert eller pålitligt. Dessutom får man, som du märkt, problemet med att man tappar sessionen. Fråga Loopia hur de tänkt att det ska lösas (antagligen har de tänkt dumpa det problemet på sina kunder).

[SweLogan]

:/ tråkigt... Jag gillar loopia, men det är som du säger emilv. Jag vill gärna kunna erbjuda en säker betallösning till mina kunder då via SSL. Och när du lägger upp argumenten så låter det helt galet. Det lutar numera åt att byta hotell.

Vilket hotell rekommenderar ni som har stöd för SSL?
Hotell eller VPS?

[LoopiaAB]

Citat:

Ursprungligen postat av emilv

Att använda en subdomän under Loopias egen har flera nackdelar:

* Om kunden inte vet att du har Loopia som webbhotell är risken (ur besökarens synvinkel) för man-i-mitten-attacker stor.
* Domänen ser precis ut som sådana nätfiskeadresser man ska akta sig för. Hade du självt handlat av någon på adressen serios-webbutik.reallysecurehost.com? Jag hade stängt webbläsaren direkt.
* Om du byter webbhotell är risken överhängande att SSL-konfigurationen finns kvar påd et gamla webbhotellet. Vad händer i sådana fall?
* Vad har Loopia för policy angående namnet i domänen? Kan någon annan lyckas skapa en liknande adress och på så sätt lura besökare?
* Vad vidtar Loopia för säkerhetsåtgärder för att garantera att ingen annan tar över subdomänen? Är det lika säkert som vanliga vhostar?
* Certifikatet är utfärdat till Loopia, inte till dig.

Att använda SSL på en subdomän så som hos Loopia är helt enkelt inte speciellt säkert eller pålitligt. Dessutom får man, som du märkt, problemet med att man tappar sessionen. Fråga Loopia hur de tänkt att det ska lösas (antagligen har de tänkt dumpa det problemet på sina kunder).

Hej

Vi känner till att det finns en del förbättringar som behöver göras för SSL-sites, men några av dina punkter gäller i flera andra fall. Ett exempel är betallösningar.
När krav på PCI-certifiering infördes så ledde det till att många välkända webshoppar numera skickar besökaren vidare till en extern betalsida, vilket många verkar helt ok med.

/Jimmie Eriksson

[emilv]

Citat:

Ursprungligen postat av LoopiaAB

men några av dina punkter gäller i flera andra fall. Ett exempel är betallösningar.

Ja, det är ett otyg. Det har hänt flera gånger att jag avbrutit transaktioner för att jag utan förvarning kommit till en skum adress. Inte blir det bättre av att flera av betallösningarna själva använder domännamn som skiljer sig från namnet på den som tillhandahåller lösningen. Samport har till exempel "secure.telluspay.com". Seriöst? Många av betalningssidorna ser också ut som rena phishing-sajter.

Ska man ha någon säkerhet i det krävs det ju i så fall att webbutiken, innan man skickas vidare, berättar vilket domännamn man kommer att komma vidare till.

[studiox]

Om du tycker det är viktigt med e-handel så kan du köpa ett eget certifikat för en egen domän - det borde vara bäst.