На написание данного материала меня натолкнула субботняя дискуссия в фейсбуке на тему рекомендательных сервисов билетных операторов. А действительно, насколько операторы заботятся о качестве и удобстве тех услуг, которые они предоставляют?

Для того чтобы проиллюстрировать отношение операторов к конечному пользователю и заодно составить мнение о качестве внутренней работы компаний, была взята очень хитрая метрика – правильность и качество установки   ssl сертификата на сайтах операторов. Статья будет немного технической, но общие картинки имеют классический вид – красный-желтый-зеленый.

Все мы знаем, что если в браузере слева от названия сайта появляется зеленый замочек – наше посещение сайта безопасно и данные, которые мы отправляем на сайт(пароли, логины) не могут быть перехвачены злоумышленником. Если упрощенно, то такой тип связи и называется SSL.

Для того чтобы сайт был защищен – необходимо этот сертификат купить и установить (можно получить бесплатно). Почему я решил сравнить операторов по признаку качества установки?

1. можно грубо оценить общий уровень IT в компании
2. можно грубо оценить отношение к информационной безопасности
3. можно увидеть как сотрудники отдельного подразделения в компании решили конкретную зачаду

Общий обзор и выбранная метрика ни в коем случае не говорит о том что “все плохо и мы все умрем”, не говорит о реальном положении и защищенности инфраструктуры оператора, но заставляет задуматься – все ли ок?

Для проверки качества и надежности SSL  соединения воспользуемся сервисом https://globalsign.ssllabs.com/. Ребята специализируются на информационной безопасности.

Поехали, оператор номер раз:

Ticketland.ru

Прекрасный результат – забота о безопасности на высоте! Данные клиентов не могут быть перехвачены и скомпрометированы. Я бы даже сказал что класс защиты значительно превышает необходимый. Но как известно, нет слишком безопасных сервисов.

kassir.ru

Упс, ситуация явно хуже. Текущая настройка может быть подвержена атакам. Маловероятно что кто-то захочет украсть билет таким способом, но все же есть над чем работать.

concert.ru

Просто хорошо! Аккуратно сделали то что нужно, молодцы.

ponominalu.ru

И тут сердце мое замерло. Да, ребята просто не используют шифрование. Это не значит что платежная информация под угрозой – о номерах карт заботится банк или платежная система. Но я бы не купил бы на этом сервисе ничего. Если в личном кабинете есть билеты – получить к ним доступ, плевое дело для злоумышленника.

Мой логин и пароль в открытом виде передаются на сайт пономиналу, но любой кто находится со мной в одной сети – может элементарно перехватить данные.

Итого

Общий рейтинг операторов выглядит примерно так

1. ticketland 5+,
2. concert.ru – твердая 5
3. kassir.ru – 3+, у злоумышленников есть шансы
4. ponominalu.ru – 2016 год все же, сертификат не космических денег стоит. сейчас это примерно как чистить зубы или выбрасывать за собой мусор

Вне конкурса

ticket4.biz – профессиональная билетная платформа, заботится о безопасности пользователей. Не участвует в общем обзоре, но может быть примером того, как простые вещи надо просто делать аккуратно

 

Всем спасибо, надеюсь через месяц увидеть положительные изменения!)