На написание данного материала меня натолкнула субботняя дискуссия в фейсбуке на тему рекомендательных сервисов билетных операторов. А действительно, насколько операторы заботятся о качестве и удобстве тех услуг, которые они предоставляют?
Для того чтобы проиллюстрировать отношение операторов к конечному пользователю и заодно составить мнение о качестве внутренней работы компаний, была взята очень хитрая метрика – правильность и качество установки ssl сертификата на сайтах операторов. Статья будет немного технической, но общие картинки имеют классический вид – красный-желтый-зеленый.
Все мы знаем, что если в браузере слева от названия сайта появляется зеленый замочек – наше посещение сайта безопасно и данные, которые мы отправляем на сайт(пароли, логины) не могут быть перехвачены злоумышленником. Если упрощенно, то такой тип связи и называется SSL.
Для того чтобы сайт был защищен – необходимо этот сертификат купить и установить (можно получить бесплатно). Почему я решил сравнить операторов по признаку качества установки?
- можно грубо оценить общий уровень IT в компании
- можно грубо оценить отношение к информационной безопасности
- можно увидеть как сотрудники отдельного подразделения в компании решили конкретную зачаду
Общий обзор и выбранная метрика ни в коем случае не говорит о том что “все плохо и мы все умрем”, не говорит о реальном положении и защищенности инфраструктуры оператора, но заставляет задуматься – все ли ок?
Для проверки качества и надежности SSL соединения воспользуемся сервисом https://globalsign.ssllabs.com/. Ребята специализируются на информационной безопасности.
Поехали, оператор номер раз:
Ticketland.ru
Прекрасный результат – забота о безопасности на высоте! Данные клиентов не могут быть перехвачены и скомпрометированы. Я бы даже сказал что класс защиты значительно превышает необходимый. Но как известно, нет слишком безопасных сервисов.
kassir.ru
Упс, ситуация явно хуже. Текущая настройка может быть подвержена атакам. Маловероятно что кто-то захочет украсть билет таким способом, но все же есть над чем работать.
concert.ru
Просто хорошо! Аккуратно сделали то что нужно, молодцы.
ponominalu.ru
И тут сердце мое замерло. Да, ребята просто не используют шифрование. Это не значит что платежная информация под угрозой – о номерах карт заботится банк или платежная система. Но я бы не купил бы на этом сервисе ничего. Если в личном кабинете есть билеты – получить к ним доступ, плевое дело для злоумышленника.
Мой логин и пароль в открытом виде передаются на сайт пономиналу, но любой кто находится со мной в одной сети – может элементарно перехватить данные.
Итого
Общий рейтинг операторов выглядит примерно так
- ticketland 5+,
- concert.ru – твердая 5
- kassir.ru – 3+, у злоумышленников есть шансы
- ponominalu.ru – 2016 год все же, сертификат не космических денег стоит. сейчас это примерно как чистить зубы или выбрасывать за собой мусор
Вне конкурса
– профессиональная билетная платформа, заботится о безопасности пользователей. Не участвует в общем обзоре, но может быть примером того, как простые вещи надо просто делать аккуратно
Всем спасибо, надеюсь через месяц увидеть положительные изменения!)