Web2.0Share信息图推荐:电子商务那点事
- laowushi - 天涯海阁 | Web2.0Share最近经常通过爱库网发现很多很有价值的信息图,考虑定期挑选一些按照主题和大家分享. 本周挑选了七张电子商务相关的信息图. 大图地址:http://ikeepu.com/bar/b9ov. 2.中国电子商务生态图谱(国内). 大图地址:http://ikeepu.com/bar/bbki. 3.2011年电子商务全景图(国外).
电子商务的支付信息在提交订单时候有哪些技术可以保证交易金额、数量、等相关参数不被主动攻击篡改提交?
标签:
电子商务
信息
技术
| 发表时间:2016-04-08 22:00 | 作者:梁川
出处:http://www.zhihu.com
题主提到的问题,虽然是防篡改问题,但大部分情况下防篡改问题,都会涉及防抵赖、防泄密等安全问题。
大的思路:
尽量在服务器端对数据进行计算、加密、签名、验签,避免将加密/签名算法及加密/签名密钥暴露给外界,降低被攻击的可能性。
针对防篡改的方案,Web端与移动端的方案不完全相同。
一、针对Web应用的一般的方案
1、网络通讯链路层面采用SSL(https)。大部分互联网公司都是采用单向SSL方案(客户端、浏览器认证服务器端证书)。如果对信息要求较高,可以采用双向SSL方案(需要浏览器安装数字证书)。
之所以采用双向SSL要安全些,主要是避免了中间人攻击(MITM)。
2、采用诸如浏览器安全控件等机制,在浏览器端对页面表单提交数据进行加密、防窃听等。此种方案在银行、第三方支付、互联网金融类公司采用较多,但由于需要安装安全控件,成本较高、对诸如电商等公司基本上不可行。
3、商户平台交易订单校验:电商等商户平台的用户将页面表单提交到服务器,服务器必须对订单信息进行计算、校验,包括金额、数量、商品信息、用户身份、session中的信息等。
4、支付请求订单签名:商户平台将支付请求信息提交给支付平台时候,需要同时带上签名信息,一般是用与支付平台约定的商户密钥串及签名算法对订单关键进行进行签名,例如md5(订单id+金额+商户id+商品id+密钥串)。支付平台接收到支付请求后,首先对请求验证签名。
此部分一般有两种方式:a、网页页面重定向方案 b、后台接口调用方案(直连接口)。
5、支付结果验证签名:商户平台在接收到支付平台请求后,一方面要对支付结果的签名进行验签,以避免被伪造支付结果。
此部分一般会采用页面重定向通知+后台通知结合的方式,一般尽量以后台通知结果为准。
二、针对APP等客户端的方案
整体方案思路与Web端类似,但由于APP必须在客户端对请求进行签名、验签,就面临加密算法及加密密钥存储在客户端,被恶意破解攻击的情况。这在android平台尤为突出。
一般采用代码混淆、对核心算法采用动态库、对密钥/证书加密存储等措施。
来源:知乎 www.zhihu.com
作者: 梁川
【知乎日报】千万用户的选择,做朋友圈里的新鲜事分享大牛。 点击下载
此问题还有 6 个回答,查看全部。
大的思路:
尽量在服务器端对数据进行计算、加密、签名、验签,避免将加密/签名算法及加密/签名密钥暴露给外界,降低被攻击的可能性。
针对防篡改的方案,Web端与移动端的方案不完全相同。
一、针对Web应用的一般的方案
1、网络通讯链路层面采用SSL(https)。大部分互联网公司都是采用单向SSL方案(客户端、浏览器认证服务器端证书)。如果对信息要求较高,可以采用双向SSL方案(需要浏览器安装数字证书)。
之所以采用双向SSL要安全些,主要是避免了中间人攻击(MITM)。
2、采用诸如浏览器安全控件等机制,在浏览器端对页面表单提交数据进行加密、防窃听等。此种方案在银行、第三方支付、互联网金融类公司采用较多,但由于需要安装安全控件,成本较高、对诸如电商等公司基本上不可行。
3、商户平台交易订单校验:电商等商户平台的用户将页面表单提交到服务器,服务器必须对订单信息进行计算、校验,包括金额、数量、商品信息、用户身份、session中的信息等。
4、支付请求订单签名:商户平台将支付请求信息提交给支付平台时候,需要同时带上签名信息,一般是用与支付平台约定的商户密钥串及签名算法对订单关键进行进行签名,例如md5(订单id+金额+商户id+商品id+密钥串)。支付平台接收到支付请求后,首先对请求验证签名。
此部分一般有两种方式:a、网页页面重定向方案 b、后台接口调用方案(直连接口)。
5、支付结果验证签名:商户平台在接收到支付平台请求后,一方面要对支付结果的签名进行验签,以避免被伪造支付结果。
此部分一般会采用页面重定向通知+后台通知结合的方式,一般尽量以后台通知结果为准。
二、针对APP等客户端的方案
整体方案思路与Web端类似,但由于APP必须在客户端对请求进行签名、验签,就面临加密算法及加密密钥存储在客户端,被恶意破解攻击的情况。这在android平台尤为突出。
一般采用代码混淆、对核心算法采用动态库、对密钥/证书加密存储等措施。
来源:知乎 www.zhihu.com
作者: 梁川
【知乎日报】千万用户的选择,做朋友圈里的新鲜事分享大牛。 点击下载
此问题还有 6 个回答,查看全部。
相关 [电子商务 信息 技术] 推荐:
Web2.0Share信息图推荐:移动电子商务那些事
- kent.zhu - 天涯海阁-Web2.0Share本期推荐几张关于移动电子商务、移动支付方面的信息图. Microsoft的“Tag”团队发布的一张信息图,包涵了移动电子商务的方方面面:用户是如何利用他们的手机购物的. 有多少零售商以及有了移动版本的网站. 以及移动购物应用的一些关键特征是什么的. 对于一个移动购物应用来说,下面这些点是很关键的特征:1.浏览产品;2.送礼功能;3.实体店活动信息;4.店铺位置;5.问答;6.创建一个wishlist;7.同一天发货;8.查看折扣;9.评论;10.提醒功能;11.查看礼品卡功能;12.商品预览;.
信息图推荐:电子商务那点事
- Anthony - 互联网的那点事最近经常通过爱库网发现很多很有价值的信息图,考虑定期挑选一些按照主题和大家分享. 本周挑选了五张电子商务相关的信息图. 大图地址:http://ikeepu.com/bar/b9ov. 2.中国电子商务生态图谱(国内). 大图地址:http://ikeepu.com/bar/bbki. 3.2011年电子商务全景图(国外).
Web2.0Share信息图推荐:移动电子商务那些事
- Ray ma - 天涯海阁-Web2.0Share本期推荐几张关于移动电子商务、移动支付方面的信息图. Microsoft的“Tag”团队发布的一张信息图,包涵了移动电子商务的方方面面:用户是如何利用他们的手机购物的. 有多少零售商以及有了移动版本的网站. 以及移动购物应用的一些关键特征是什么的. 对于一个移动购物应用来说,下面这些点是很关键的特征:1.浏览产品;2.送礼功能;3.实体店活动信息;4.店铺位置;5.问答;6.创建一个wishlist;7.同一天发货;8.查看折扣;9.评论;10.提醒功能;11.查看礼品卡功能;12.商品预览;.
电子商务发展趋势深度分析(二): 从eBay创新大会看互联网技术,电子商务和移动电子商务发展趋势
- 翔 - 动点科技-CN.TechNode.com继续我们的话题,eBay转型的布局知道了,但是未来电子商务趋势是怎样的. 巨头们怎么转型布局和我们每家电商有什么更重要的关系吗. 大的层面上eBay, Paypal, Magento转型布局完了,那么在细节层面上,他们具体打算做些什么事情. 这就和未来电子商务的趋势有关了,也和我们每家电商多少有点关系了,我们多少可以参考下他们在盘算些什么.
电子商务的支付信息在提交订单时候有哪些技术可以保证交易金额、数量、等相关参数不被主动攻击篡改提交?
- - 知乎每日精选题主提到的问题,虽然是防篡改问题,但大部分情况下防篡改问题,都会涉及防抵赖、防泄密等安全问题. 尽量在服务器端对数据进行计算、加密、签名、验签,避免将加密/签名算法及加密/签名密钥暴露给外界,降低被攻击的可能性. 针对防篡改的方案,Web端与移动端的方案不完全相同. 一、针对Web应用的一般的方案.
[信息图]2011年社会化媒体和电子商务全景图
- puzzup - SocialBeta投资银行Luma Partners制作的电子商务和社会化媒体网站以及服务提供商的logo合集图片,看看一个投资者角度是如何看待这个市场的. 在社会化媒体行业,则有23个细分市场,他们分别是(点击图片看大图):. 1.社会化营销管理(包括社会化推广平台). 2.短网址服务(如bitly). 6.内容创造平台(如flipboard).
HTML5@电子商务.com
- never-online - 随网之舞在这么短的时间内国内组织了这多次和HTML5相关的大规模顶级会议,几乎涉及到国内所有最领先的互联网企业,从中可以看出HTML5的热度. HTML5引起业界如此重视这是好事,但短时间内过热反而说明了业界对于HTML5的理解程度不够,这点和2005年言必称标准和ajax非常类似,等大家真正对标准和ajax深刻理解并应用到生产实践的时候反而在谈论的是利用标准和ajax成就了某项产品而不仅仅是技术本身,HTML5也正经历这样一个过程.
电子商务的艰难
- alswl - 千鳥志上午去了趟仓库,第一次看到我们设计的操作线在仓库完整运作,离6月16日去凡客和乐淘仓库学习只有129天. 南五环与北四环之间来回的路上,各种不容易历历在目.