Creditcard betaling zonder SSL

Dit is in principe niet veilig. Wat staat er onder het linkje 'veilig betalen met creditcard'?

Wat denk je zelf?



Van bol.com:

Via creditcard (Visa, MasterCard en American Express). U kunt uw creditcardgegevens - via onze beveiligde SSL procedure - veilig invoeren en wij zorgen samen met uw creditcardorganisatie voor een correcte afhandeling.

Volgens mij zit er daar mischien iets niet goed?

[ Voor 68% gewijzigd door ironx op 10-08-2005 11:45 ]

Wat gebeurt er als je op "Veilig bestellen met CC drukt?"

* Gunner heeft onlangs ook wat met zijn CC besteld bij bol, maar kan zich niet herinneren of het wel SSL was of niet.

ja, in principe is dat onveiliger dan via een ssl verbinding. Ik zou het niet doen, en er voor kiezen anders te betalen. Stel ze hiervan ook per email op de hoogte!!

Zodra de verdere afhandeling via Bibit gebeurt (zoals eronder staat) is het wel weer veilig (wel SSL), maar er blijft altijd de overdracht van de gegevens van de pagina waar je nu op zit naar de server toe over, en deze kan op deze manier dus wel onderschept worden! Kwalijke zaak...

Maar als je op "submit" klikt, gaat de verbinding dan niet alsnog over naar een beveiligde verbinding? Dat is pas het moment dat je CC-gegevens daadwerkelijk over de lijn gaan.
Het zou niet zo netjes zijn richting klant (onduidelijk etc), maar technisch gezien is het niet eerder noodzakelijk om een SSL-pagina te laten zien.

Dan gaat er bij jou was mis.
hier is alles wat ook maar met betaling te maken heeft (creditcard, bankrek nummer) allemaal via https.

Omdat er in de URL enkel http staat wil dit niet zeggen dat het niet ge-encrypteerd is.

Ik heb enkele jaren terug ooit eens een heel stricte firewall gebruikt en liet enkel uitgaand poort 80 (en DNS off course) toe
Zo kon ik niet inloggen in Hotmail, alhouwel er nergens HTTPS stond in de URL bar werd het password blijkbaar toch encrypted over de HTTPS poort verzonden

Ik had ook dezelfde problemen gehad. Had om opheldering over de onbeveiligde verbinding gevraagd aan de waardeloze klantenservice ako. En die zei dat een verisign logo op hun site voldoende is .

Zoveel moeite is het niet om ergens anders te bestellen

Ik heb toevallig net zelf een https: betalingsite (TripleDeal) geintegreerd in een site d.m.v. een IFrame. Ik was eerst tegen omdat je inderdaad niet kan zien dat het een beveiligde pagina is.

Maar het is wel degelijk een https verbinding. Je browser zegt er echter niets over. Zowel IE als Firefox geven geen melding, ook niet van "mixed content" secure en non-secure.

Je kunt wel met de rechtermuis klikken op het IFrame en de eigenschappen opvragen (IE) of "this frame-> frame info" (gecko-browsers) en dan zie je dat het wel een https verbinding is.

Weet niet of het bij BOL ook zo is gedaan. Maar het zou kunnen.

Wat je niet wilt is dat de klant gaat twijfelen over de veiligheid, dus we hebben er een tekst bij geplaatst hoe de klant kan checken dat het https betreft. (Een en ander afgekeken van Wannahaves.nl )

Wat gebeurt er als je zelf die s achter http zet en dus https://bol.com/etc... invoert? Gaat het dan wel met SSL?

Als er geen https staat, NOOIT creditcard gegevens invoeren. Het gaat er niet alleen om dat de verbinding ge-encrypt is, maar dat je ook weet dat je met de juiste partij contact maakt (kun je zien bij de details van het certificaat).

Dan moet je het gewoon doen door zelf een S toe te voegen. Let er wel op dat het dan ook daadwerelijk SSL is. Als het goed is verschijnt er rechtsonderin dan een slotje, waar je eventueel ook extra informatie kan opvragen.

Misschien wordt het formulier gewoon WEL gepost naar een HTTPS verbinding, dan is het probleem ook opgelost

Is het niet gewoon zo dat het "slotje" icoon in IE / FF aleen actief is als er echt https staat? Over http kun je ook een goed werkende gecodeerde verbinding maken hoor.