PHP + SSL с самого начала

[Merk]

PHP + SSL с самого начала

Здравствуйте!
Имеется интернет-магазин. Появилась необходимость сделать возможность оплаты по кредитным картам. В моём случае этим будет заниматься другая фирма, но...
1. Мне нужно сделать форму, которая принимает номер карточки и личные данные.
2. Отсылает эти данные на адрес фирмы.
3. Фирма обрабатывает данные, делает проверки, снимает деньги и возвращает номер ответа.

Вот эту самую форму мне и нужно отправлять через SSL. На моём сервере есть поддержка SSL. Но у меня нет четкого представления как с ним работать. Подскажите, пожалуйста, как это реализовать.

И ещё. Покупать у меня на сайте могут только зарегистрированные пользователи. Процесс авторизации выполняется по средствам создания мд5-хэша яваскриптом, пересылки оного скрипту и проверки с мд5-хэшем, находящимся в базе. Стоит ли мне переводить и этот процесс на SSL или всё же это уже излишняя паранойя? Заранее спасибо.

 

[young]

1. Мне нужно сделать форму, которая принимает номер карточки и личные данные.
2. Отсылает эти данные на адрес фирмы.
3. Фирма обрабатывает данные, делает проверки, снимает деньги и возвращает номер ответа

тебе ничего не надо знать про SSL
тебе просто надо написать

<form action="https://contora.org/post.php">

 

[Merk]

И для этого ставить на МОЙ сервер SSL нет необходимости или я ошибаюсь?

 

[young]

И для этого ставить на МОЙ сервер SSL нет необходимости или я ошибаюсь?

совершенно верно.
Тебе SSL не нужен

 

[Astral Man]

young
Как понимаю форма будет на http:// , соответственно передаются не по SSL на SSL. Форма для ввода данных должна быть на https:// и обрабатываться на этом же серваке.

З.Ы. Это мое мнение, может я ошибаюсь...

 

[Bloody]

Да, ошибаешься. Самой форме никакие данные никуда не отсылаются. Данные отсылаются только скрипту который в поле action формы, вот он и должен быть через SSL.

 

[Astral Man]

Смысл посылать данные с http:// на https:// - где защита?

 

[Bloody]

Елы палы, да тебя впору в "на танке" посылать!
Подумай сам, с КАКОГО http посылаются данные???
ДАННЫЕ ПОСЫЛАЮТСЯ БРАУЗЕРОМ КЛИЕНТА. Т.е. с компьютера пользователя, а не с какого-то там http. Причем посылаются они туда, куда написано в поле action тэга form... Т.е. в данном случае на https://куда-то-там...

 

[Merk]

Смысл посылать данные с http:// на https:// - где защита?

К тому же, обычно на подобных сайтах, насколько я заметил, форма открывается уже через SSL. Даже если это и лишнее с точки зрения защиты (в чём я почему-то до сих пор не уверен), то с психологической точки зрения успокаивает юзера, когда он заполняет форму и видит замочек в эксплорере...

 

[Bloody]

Ну, чтобы успокоить юзера, можно с помощью JS прописать в статусбаре "Страница просматривается через безопасное соединение"

 

[Astral Man]

Bloody Ну расскажи что такое SSL и его механизм?

 

[Bloody]

Господи, я что тут лекции читать буду... Вкратце - механизм шифрования данных передаваемых по сети, где клиент и получает от сервера ключ для шифрования и расшифровки данных. А вообще-то в поиск вам СРОЧНО.

 

[Astral Man]

На сколько я понимаю данные надо передавать с ключом для расшифровки данных - правильно? А как мы эти данные будем шифровать если находимся не на защищенном соединие?

 

[young]

На сколько я понимаю данные надо передавать с ключом для расшифровки данных - правильно? А как мы эти данные будем шифровать если находимся не на защищенном соединие?

Это не твои проблемы

Форма в браузере.
Браузер умеет делать SSL.
Сервер, принимающий форму, тоже умеет делать SSL.
Они между собой общаются по SSL, это проблемы браузера и принимающего сервера.

Твой сервер, который сгенерировал форму в этом вообще не участвует.

Что именно тебе не понятно?

 

[Bloody]

Astral Man
Я ж говорю - в поиск...

 

[Astral Man]

young После того как нажали кнопку "Послать" данные пошли на сервер, брузер еще не знает ключ шифрования т.к. он его получит в ответ сервера, соответственно данные посылаются в незашиврованном виде.

 

[Bloody]

НУ ЕПТЬ, НУ ЧТО ТЫ ТАКОЙ - GOOGLE - ХОРОШИЙ ПОИСКОВИК, И ВЫДАСТЬ ТЕБЕ ВСЕ ЧТО НАДО И НЕ НАДО ПРО SSL - ЗАЧЕМ ЖЕВАТЬ СОПЛИ И ЗАБИВАТЬ ЛЮДЯМ МОЗГИ ГОВОРЯ ПРО ТО, ЧЕГО ТЫ НЕ ЗНАЕШЬ???

 

[young]

Товарищ, ознакомься хотя бы с базовыми понятиями о SSL-соедиениях

 

[Bloody]

Ладно, сорри за взрыв энтузиазма...
Так вот: при соединении с SSL-сервером сначала производится процедура, называемая handshake - рукопожатие. При этом происходит обмен ключами для шифровки и расшифровки данных.
И только после этого происходит обмен любой другой информацией, в том числе и отсылка данных формы.

 

[confguru]

Уже при загрузке этой формы должен быть SSL - чтоб данные
вводимык клиентом в форму никто не перехватил...

>1. Мне нужно сделать форму, которая принимает номер карточки и личные >данные.

Для определения где нужен ссл - представь что все клиенты ходят
через http-прокси контролируемой хакерам .. которые видять
все POST, GET