Một trang web bán hàng có sử dụng SSL thì có thực sự an toàn và đáng tin tưởng không ???

mình chỉ biết sơ sơ nhưng theo nguyên tắc là dữ liệu -> mã hoá -> sever thì sẽ an toàn , an toàn ở đây là nếu trong lúc gởi nếu có ai đang log các gói tin gởi trong mạng ( dùng lấy user, pass .. ) thì các thông tin đó đã mã rùi nên an toàn hơn.
Thế nhưng nếu site mình viết bị lỗi khác (XSS,SQL j... ) thì vẫn ko an toàn :D

NHưng nói chung site đã dùng ssl thì họ đã chú tâm đến bảo mật bạn có thể yên tâm phần nào :)

Một số công ty nhỏ làm web mua thương mại chỉ thuê share host thì việc có dùng SSL cũng đâu đảm bảo an toàn thông tin cho khách hàng được.

Phải làm gì để bảo vệ chính mình đây ?

{@:

- Thuê host chỗ chất lượng, đáng tin cậy.

:@}

Chỗ nào gọi là đáng tin cậy ? (lòng người làm sao mà đoán được ?)

Hoặc nhỡ một ngày đẹp trời nào đó mình bị hack do các accout dùng chung server thì làm sao ?

SSL có lẽ chỉ cần cho các công ty cực lớn thuê colo hoặc dedicated sever mà thôi !

* Một lập trình viên web có cần phải nghiên cứu nó không, hay là phó thác cho quản trị server là được rồi ?

{@:

- Nói như bạn thì chết roài, nếu vậy chẳng ai đi thuê host, và mí cty cho thuê host sập tiệm từ cái đời nào.

- dedicated sever cũng đâu quá mắc mà cty cực lớn mới thuê được.

- Lập trình viên web khỏi lo nghĩ tới mí cái đó, chỉ cần đảm bảo oke ở phần việc cuả mình. Ko phải phó thác mà nhiệm vụ ai người đó làm.

- "chàng hảng thì tét háng" :D, vì thế tập trung vào phần việc của mình là tốt nhất.

:@}

Chỗ nào gọi là đáng tin cậy ? (lòng người làm sao mà đoán được ?)

Hoặc nhỡ một ngày đẹp trời nào đó mình bị hack do các accout dùng chung server thì làm sao ?

SSL có lẽ chỉ cần cho các công ty cực lớn thuê colo hoặc dedicated sever mà thôi !

* Một lập trình viên web có cần phải nghiên cứu nó không, hay là phó thác cho quản trị server là được rồi ?

chào bạn,
những gì bạn nói không phải không có cơ sở. Nhưng có 1 số thứ sau đây bạn nên tham khảo trước khi sử dụng 1 dịch vụ nào đó: usage policy, các chế độ của dịch vụ khi có chuyện gì xảy ra. Một provider làm ăn đàng hoàng luôn có đầy đủ các policy bảo vệ quyền lợi khách hàng. Nếu bạn nghĩ provider đang sử dụng bất kỳ phần thông tin nào của bạn mà không được sự cho phép, bạn có thể file up 1 đơn kiện, nếu tòa án chứng minh rằng bạn đúng, mọi phí tổn bên kia chịu. Bên cạnh đó, bạn có thể cân nhấc việc mua các loại bảo hiểm về tài chính. Làm ăn thì dĩ nhiên luôn luôn có rủi ro, do đó càng nhiều thông tin bạn tìm hiểu về đối tác trước khi ký hợp đồng hosting lâu dài thì càng có lợi.


Hoặc nhỡ một ngày đẹp trời nào đó mình bị hack do các accout dùng chung server thì làm sao ?

shared host không bao giờ được coi là có thể đạt độ bảo mật cao. Nếu business của bạn là critical, và không thể suffer data lost vì bất cứ lý do gì, nên nên thuê dedicated hosting.


Một lập trình viên web có cần phải nghiên cứu nó không, hay là phó thác cho quản trị server là được rồi ?

Một lập trình viên tốt trước khi nhận cái gì làm, sẽ phải predict và request mọi thứ cần thiết support cho công việc của mình.
Một quản trị mạng tốt sẽ provide mọi thứ cần thiết cho các user trong mạng của mình.
Vậy trước khi bắt tay nhau làm việc, good programmer nói với good sysadmin như thế này: "hey, boss said we'll need a way to implement tls/ssl for secure comm, i need our system to support it before next monday". Và good sysadmin nói "ok, ssl will be ready for use before monday, i will provide documentations tomorrow"

Trong IT có 1 câu :"a system is designed to do something, not everything", người làm IT cũng vậy, mỗi người làm 1 chuyện, không nên quàng xiên, đối với các project lớn, việc 1 người nhảy vào làm việc người khác, mai sau sẽ có thảm họa to trong việc mở rộng.

Riêng về câu hỏi SSL có secure không, thì còn tùy: với 1 ssl traffic từ A tới B
- Tùy vào các đối tượng trung gian từ A đến B: đối tượng chỉ có quyền đọc thông tin đó, thì coi như phần nào an toàn, nhưng với các đối tượng có quyền thay đổi thông tin, như isp, không có gì bảo đảm họ không thể setup 1 ssl proxy, thay mặt bạn giao tiếp với ssl-enabled server. Bạn đọc thêm về ssl man-in-the-middle attack tại sans.org và nhiều tài liệu khác. Có rất nhiều tool và video demo về việc sử dụng những thứ như sslmitm để spy ssl traffic.
- Tùy vào mức độ hiểu biết của người dùng phía client. Hầu hết người dùng cứ việc bấm OK khi gặp cái warning về certificate mismatched, điều này loại bỏ hoàn toàn cơ chế bảo mật của ssl.
- Còn nhiều thứ liên quan, như việc bảo quản key, chọn crypto method ...
- Tui nhớ lúc trước có đọc sơ cuốn Applied Cryptography của Bruce Schneider, có gặp một câu đại loại "Giải thuật mã hóa có thể vô cùng bảo mật, nhưng hầu hết các trường hợp là người ứng dụng giải thuật đó implement sai".
- Đại khái mới ngủ dậy, nên chỉ nhớ được nhiêu đó :smile:, có gì bạn post tiếp mình sẽ tìm hiểu thêm.

Không bàn đến chuyện hack nó

Mình muốn hỏi nếu như triển khai nó thì nên mua khóa SSL ở đâu là tốt nhất ? (mắc cỡ vài nghìn $ như versign thì được lợi gì ?)
Sức tải của server sẽ giảm bao nhiêu % nếu mọi trang đều sử dụng giao thức ssl ?

Hồi trước cái trang VCB online của VCB nó tự tạo và sử dụng cái khóa riêng như vậy có an toàn không ?

Sức tải của server sẽ giảm bao nhiêu % nếu mọi trang đều sử dụng giao thức ssl ?

uhm theo TMK nghĩ nó nặng nề hơn chứ. vì nó còn phải encode còn de-encode nữa . Maybe :D