Top ten เกี่ยวกับความปลอดภัยใน php
วันก่อน ฟาร์มมาถามว่า ออกแบบระบบ พวก e-commerce
เป็นมั้ย? มีคนจะมาจ้างทำ
ฟาร์มบอกว่า ต้องมีทำพวก ระบบหักบัตรเครดิต คลังสินค้าไรทำนองนี้อะ
ฟังแล้ว เรื่องคลังสินค้ายังเฉยๆ แต่ไอระบบหักบัตรเครดิตนี่ ไม่เคยทำอะ
เลยสนใจเรื่องนี้ขึ้นมา ตอนบ่ายว่าง เลยเข้าศูนย์คอมหาข้อมูลเรื่องนี้
จากการหาคร่าวๆ รอบแรก ไม่เจออะไรเลยว่ะ วิธีการจะเขียนโค้ด
ให้หักบัตรเครดิตได้เนี่ย ทีเดาไว้คือ ธนาครคงมี web service อะไร
ซักอย่างให้ส่งข้อมูลไปเรียกใช้ได้ แต่ไม่ยักกะเจอแฮะ
แต่จะมีระบบหักบัตรเครดิตนี่ พวกความปลอดภัยต้องให้ความสำคัญมากๆเลย
ไม่งั้นเลขบัตรเครดิต รั่วไหลแน่ๆ ก็เลยหาข้อมูลเรื่องนี้ต่อ
ส่วนตัวสนใจเรื่องนี้มากๆ เขียน php (อย่างอื่นก็ได้) อย่างไรให้ปลอดภัยอะ
เราเข้าใจว่า เรื่องพวกนี้มันสอนกันไม่ได้ซะทีเดียว คงต้องใช้ประสบการณ์
บวกกับเจอตัวอย่างบ่อยๆ บวกกับความสามารถในการหาช่องโหว่ เท่านั้น
ปรากฏว่า ก็ไปเจอเว็บนี้เข้า
http://www.sklar.com/page/article/owasp-top-ten
บางอันก็เคยรุ้มาแล้ว บางอันก็พึ่งรุ้
เห็นมีประโยชน์ เลยมาแปะไว้
ปล. ทำรายงานเวอร์ริล๊อกเสร็จแล้ววว ไปนอนดีก่า
เท่าที่รู้ ถ้าจะตั้งตัวเป็นคนตัดเงินเอง อย่างน้อยๆก็ต้องมี SSL Cert เป็นของตัวเองก่อน (ไม่แพง ปีละ $995 เอง – Verisign เพิ่งไปดูมา)
ไปใช้บริการพวกที่มันทำไว้ให้แล้วน่าจะง่ายกว่า (ถ้าเป็นเว็บเล็กๆ) มันอาจจะมี Web Service หรืออะไรที่บอกจริง แต่พวกธนาคารเค้าคงไม่สนใจพวกรายย่อยหรอก (มั้ง..) http://www.thaiepay.com/products.aspx .. <– ดูนามสกุลไฟล์ด้วย
ตอนนี้พวกละครอยากจะตัดเงินผ่านบัญชีธนาคารอยู่ ยังไม่คิดเลยว่าจะเป็นไปได้ แต่พี่เค้ายืนยันจะไปคุยธนาคารก่อน ถ้าสนใจไปด้วยกันก็ดีนะ
มีเซอร์วิสของธนาคาร แต่ต้องติดต่อรายละเอียดเยอะพอดู ใช้พวก paysbuy น่าจะดีเหมือนกัน
Top ten ศาสตร์มืด อิอิ