przez schematx.pl » 28 kwi 2013, o 19:57
no to po kolei;
numery kart płatniczych nie są przechowywane w systemie/bazie danych - transakcje wykonywane przy użyciu kart płatniczych przechodzą przez moduł płatności, moduł komunikuje się z serwerem operatora/banku i tylko bank/operator ma dostęp do danych na temat karty itp. w systemie pozostaje informacja o kliencie, o tym że zapłacił kartą, jaką kwotę zapłacił i co zamówił.
jak już wspomniałem wyżej w systemie/bazie danych zostają informacje o kliencie i jego zamówieniach - cały system jest tak bezpieczny jak i bezpieczna jest baza danych, ogólnie dziur które ewidentnie i w łatwy sposób prowadziły by do przejęcia kontroli nad sklepem czy danymi ze sklepu nie znajdziesz - co nie oznacza że ich nie ma (najpopularniejszy sposób opiszę na końcu)
Struktura katalogów - ważne jest aby na serwerze ustawić odpowiedni dostęp do tych katalogów (CHMOD), wtedy masz pewność że nikt niepowołany nie zaglądnie do folderu z poziomu przeglądarki itd.
Kilka rad powtarzanych na innych forach i które każdy administrator OC powinien znać:
- Nie instaluj kilku sklepów na silniku OC w 1 domenie np. twojAdres.pl/sklep1/ i twojAdres.pl/sklep2/
- Ustaw odpowiednio długie hasło dla konta administracyjnego i zmień standardowy login "admin" na coś mniej oczywistego
- Nie dawaj dostępu do konta administratora niezaufanym osobom - w przypadku pomocy technicznej twórz oddzielne konta użytkowników z odpowiednimi uprawnieniami.
- Wyłącz możliwość wgrywania plików przez klientów - czytaj poniżej.
Dlaczego tak ważne jest wyłączenie możliwości wgrywania plików przez klientów? Dla systemu OC w wersjach 1.4.7 do 1.5x możemy pobrać z internetu exploit - specjalnie spreparowany plik który wgrywając z poziomu konta klienta podmienia oryginalny plik systemu i pozwala na dostęp do wszystkich plików na serwerze. Exploit wykorzystuje bibliotekę JSON domyślnie znajdującą się w każdym systemie OC i podmienia plik filemanager.php na swoją spreparowaną wersję która umożliwia m.in. wylistowanie katalogów, zmiany nazw, wgrywanie plików, usuwanie, kopiowanie itd.itd.
w razie niejasności pisz.