Почему не все операторы одинаково полезны

small01

На написание данного материала меня натолкнула субботняя дискуссия в фейсбуке на тему рекомендательных сервисов билетных операторов. А действительно, насколько операторы заботятся о качестве и удобстве тех услуг, которые они предоставляют?

Для того чтобы проиллюстрировать отношение операторов к конечному пользователю и заодно составить мнение о качестве внутренней работы компаний, была взята очень хитрая метрика – правильность и качество установки   ssl сертификата на сайтах операторов. Статья будет немного технической, но общие картинки имеют классический вид – красный-желтый-зеленый.

Все мы знаем, что если в браузере слева от названия сайта появляется зеленый замочек – наше посещение сайта безопасно и данные, которые мы отправляем на сайт(пароли, логины) не могут быть перехвачены злоумышленником. Если упрощенно, то такой тип связи и называется SSL.

Для того чтобы сайт был защищен – необходимо этот сертификат купить и установить (можно получить бесплатно). Почему я решил сравнить операторов по признаку качества установки?

  1. можно грубо оценить общий уровень IT в компании
  2. можно грубо оценить отношение к информационной безопасности
  3. можно увидеть как сотрудники отдельного подразделения в компании решили конкретную зачаду

Общий обзор и выбранная метрика ни в коем случае не говорит о том что “все плохо и мы все умрем”, не говорит о реальном положении и защищенности инфраструктуры оператора, но заставляет задуматься – все ли ок?

Для проверки качества и надежности SSL  соединения воспользуемся сервисом https://globalsign.ssllabs.com/. Ребята специализируются на информационной безопасности.

Поехали, оператор номер раз:

Ticketland.ru

Screen Shot 2016-02-21 at 03.39.50

Прекрасный результат – забота о безопасности на высоте! Данные клиентов не могут быть перехвачены и скомпрометированы. Я бы даже сказал что класс защиты значительно превышает необходимый. Но как известно, нет слишком безопасных сервисов.

kassir.ru

Screen Shot 2016-02-21 at 03.39.15

Упс, ситуация явно хуже. Текущая настройка может быть подвержена атакам. Маловероятно что кто-то захочет украсть билет таким способом, но все же есть над чем работать.

concert.ru

Screen Shot 2016-02-21 at 03.40.10

Просто хорошо! Аккуратно сделали то что нужно, молодцы.

ponominalu.ru

Screen Shot 2016-02-21 at 03.41.34

И тут сердце мое замерло. Да, ребята просто не используют шифрование. Это не значит что платежная информация под угрозой – о номерах карт заботится банк или платежная система. Но я бы не купил бы на этом сервисе ничего. Если в личном кабинете есть билеты – получить к ним доступ, плевое дело для злоумышленника.

Мой логин и пароль в открытом виде передаются на сайт пономиналу, но любой кто находится со мной в одной сети – может элементарно перехватить данные.

Итого

Общий рейтинг операторов выглядит примерно так

  1. ticketland 5+,
  2. concert.ru – твердая 5
  3. kassir.ru – 3+, у злоумышленников есть шансы
  4. ponominalu.ru – 2016 год все же, сертификат не космических денег стоит. сейчас это примерно как чистить зубы или выбрасывать за собой мусор

Вне конкурса

Screen Shot 2016-02-21 at 03.38.49

ticket4.biz – профессиональная билетная платформа, заботится о безопасности пользователей. Не участвует в общем обзоре, но может быть примером того, как простые вещи надо просто делать аккуратно

 

Всем спасибо, надеюсь через месяц увидеть положительные изменения!)

Комментарии

  • Михаил Минин

    На скрине ponominalu.ru очевиднейшим образом указано, что сертификаты используются в других доменах, которые обслуживают те сегменты, где SSL действительно нужен. Во-вторых, почему же крайний сервис вне конкурса?

    Посмотрим на сайт Alfa Future People, билетный сервис которого работает на этом ПО. Там не просто нет SSL – там персональные данные клиентов передаются в адресной строке. Чем это может быть чревато: http://www.mobile-review.com/articles/2011/mega-sms-leak.shtml.

    Это я к чему. Очевидно, что передавать персональные данные клиентов (особенно в 2016 году) в адресной строке, ужасно. Но вот по SSL не все так однозначно. Популистских целей статья достигает, но вот образовательных – нет. Я думал, что билетные сервисы и новое ПО возьмут на свое маркетинговое вооружение образование промоутеров и рынка в целом, но, видимо, методы конкуренции тут заимствуются от больших братьев. Грустно…

    • ) учитывая то, что это происходит внутри iframe, вероятность того что яндекс браузер заберется туда – стремится к 0, но в любом случае – спасибо, мы пофиксили

      не переживай, до настоящей конкуренции еще далеко и да) ничего личного пользовательская зона-то у вас все равно голая

Другие публикации