از کجا امن وارد داده ها و پرداخت - SSL, رمزگذاری
هدف این است که به سرعت سایت هایی را که می توانید با خیال راحت اطلاعات شخصی/پرداخت را از سایت هایی با خطر رهگیری، فیشینگ و نشت وارد کنید، جدا کنید.
1) حداقل امنیت سایت پایه
TLS فقط 1. 2/1. 3 (شماره 1) 0/1. 1).
رمزهای مدرن: ECDHE با AES-GCM یا ChaCha20-Poly1305 (قلم. در موبایل)
PFS (کامل به جلو محرمانه) - через ECDHE.
گواهی معتبر (SHA-256)، ≥2048 کلید RSA یا P-256/384 ECDSA.
HSTS (+ ترجیحا از پیش بارگذاری شده): اجرای سخت HTTPS.
تغییر مسیر از HTTP به HTTPS بدون استثنا.
شفافیت گواهی (SCT) - در جزئیات گواهی قابل مشاهده است.
2) نحوه تأیید گواهی در 30-60 ثانیه
1. روی «قفل» → گواهی کلیک کنید:
- صدور به = دامنه دقیق/زیر دامنه (SAN).
- صادر شده توسط - CA قابل تشخیص است.
- مهلت منقضی نشده است/نه «فردا». 2. В DevTools → امنیت:
- TLS 1. 2/1. 3، ECDHE и AES-GCM/ChaCha20.
- بدون «محتوای مخلوط» (تصاویر HTTP/اسکریپت ها در صفحه HTTPS).
- 3. صفحه پرداخت را باز کنید: دامنه فرم با سایت مطابقت دارد یا PSP شناخته شده در iframe است.
- TLS/گواهی: نسخه/رمز/CA/مدت/HSTS/CT
- پرداخت: PSP-iframe/redirect/ 3-DS 2/tokenization/methods و SLA/همان روش
- حساب کاربری: 2FA/Passkeys/secure کوکی ها/مدیریت جلسه
- KYC/حریم خصوصی: آپلود کابینه/عمر مفید/ایمیل ممنوعیت
- دفاع از جلو: CSP/قاب اجداد/سیاست ارجاع
- موبایل: دفتر فروشگاه ها/بدون ARA/برنامه های افزودنی نتیجه نهایی (0-100):
- 12) سوالات متداول (کوتاه)
3) پرداخت های محافظت شده: آنچه که به عنوان هنجار در نظر گرفته می شود
PCI DSS: سایت PAN/CVV خود را جمع آوری نمی کند - فیلدهای کارت در داخل فیلدهای میزبان/iframe PSP یا تغییر مسیر به صفحه پرداخت ارائه دهنده.
نشانه گذاری: کارت به نشانه تبدیل می شود ؛ این سایت فقط «last4» و یک نشانه را ذخیره می کند، هرگز CVV.
3-D امن 2. x/SCA: تأیید فشار/بیومتریک در بانک.
Apple Pay/Google Pay: نشانه های شبکه، حداقل ورودی دستی.
روش های حساب بانکی (PayID/Osko، و غیره): جزئیات دقیق و تایید اعتبار نشان داده شده است ؛ هیچ درخواستی برای «ارسال یک صفحه کارت به چت» وجود ندارد.
پرداخت های رمزنگاری: آدرس/QR در صفحه PSP تولید می شود، مقدار/شبکه ثبت شده است، هشدار در مورد شبکه و کمیسیون وجود دارد.
4) جلسات و ورود
کلید های عبور/ FIDO2 یا 2FA (TOTP/برنامه، کلید FIDO ؛ SMS یک جایگزین است.)
Куки: 'Secure', 'HttpOnly', 'SameSite = Lax/Strict'; خروج خودکار از طریق اتمام وقت.
مدیریت دستگاه: لیست جلسات فعال، خروج «از تمام دستگاه ها».
ورود رمز عبور/تغییر هشدار از طریق ایمیل/فشار.
5) حفاظت از جلو و عقب (نشانگرهای غیر مستقیم)
CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, Frame-ancestors (anti-clickjacking).
بدون اسکریپت های «چپ» شخص ثالث در صفحه پرداخت (anti-skimmer/Magecart).
محدودیت/پوشش داده ها: فقط «last4» و پنهان ایمیل/تلفن در مشخصات نمایش داده می شود.
6) CCM/اسناد - نحوه بارگیری با خیال راحت
فقط از طریق یک کابینت امن (HTTPS/TLS 1. 2 +) با لودر ؛ اسناد را به چت/ایمیل ارسال نکنید.
فرمت های پشتیبانی شده (PDF/JPG/PNG)، محدودیت اندازه، سیاست حفظ/حذف صریح.
علامت های سفید («KYC only [site ]\[ date]»)، شماره کارت مخفی/QR.
سیاست حفظ حریم خصوصی: عمر مفید، انتقال به اشخاص ثالث (ارائه دهنده KYC)، کشور ذخیره سازی.
7) موبایل و برنامه ها
بدون ARC/برنامه های افزودنی: بازی در مرورگر (HTML5) و یا فروشگاه های رسمی (فروشگاه App/Google Play).
حقوق برنامه حداقل است ؛ بدون «SMS/اطلاعات تماس/تماس».
Wi-Fi عمومی - فقط با VPN و بدون ورود به CUS/کارت.
OS/مرورگر خودکار به روز رسانی فعال هستند.
8) حسابرسی سریع سایت (15 دقیقه)
1. مجوز/رجیستری (2 دقیقه): در سایت - شماره و کلیک، شخصیت حقوقی/دامنه در رجیستری.
2. TLS/گواهی (2 دقیقه): قفل → گواهی (SAN، مدت، CA) ؛ DevTools → TLS 1. 2/1. 3، ECDHE + AES-GCM/ChaCha20.
3. HSTS/تغییر مسیر (1 دقیقه): مجبور HTTPS, هیچ نسخه HTTP از حساب شخصی/ثبت نام پول نقد.
4. فرم پرداخت (4 دقیقه): زمینه های میزبانی/iframe PSP، بدون "نام =" شماره کارت "در کد سایت ؛ 3-D امن 2. X ؛ نشانه گذاری ؛ روش ها و پرداخت های SLA منتشر شده است.
5. حساب (3 دقیقه): 2FA/Passkeys را روشن کنید بررسی سیاهههای مربوط به ورودی/دستگاه ؛ 'HttpOnly/Secure' کوکی ها.
6. KYC (3 دقیقه): بوت لودر کابینه، سیاست حفظ حریم خصوصی، ممنوعیت ارسال از طریق ایمیل.
9) ماتریس ایمنی (100 امتیاز)
TLS/گواهی - 20 (TLS 1. 2/1. 3، ECDHE + AES-GCM/ChaCha20، CT، HSTS)
پرداخت/PCI - 25 (PSP-iframe/redirect، نشانه گذاری، 3-DS 2. x، بدون ذخیره سازی PAN/CVV)
Sessions/2FA - 15 (کلید های عبور/TOTP، کوکی ها امن، مدیریت دستگاه)
حفاظت از جلو - 10 (CSP، سیاست ارجاع، اجداد قاب، هیچ اسکریپت شخص ثالث در پرداخت)
KYC/حریم خصوصی - 10 (آپلود کابینه، زمان ذخیره سازی، ممنوعیت ایمیل)
مجوز/رجیستری - 10 (در رجیستری کلیک کنید، مطابقت با شخص حقوقی/دامنه)
موبایل - 5 (بدون ARC/پسوند، رسمی. داستان)
شفافیت پرداخت ها - 5 (روش ها، حداقل/حداکثر، کمیسیون، SLA، همان روش)
تفسیر: ≥85 یک توصیه قوی است ؛ 75-84 - مناسب ؛ 60-74 - متوسط ؛ <60 - اجتناب از.
10) پرچم های قرمز (گذشته بلافاصله)
بدون HTTPS در صفحات ورود/پرداخت، محتوای مخلوط.
TLS 1. 0/1. 1، رمزهای قدیمی، گواهی خود امضا شده/منقضی شده.
فیلدهای کارت در DOM سایت (و نه در PSP iframe) ؛ درخواست برای ارسال یک کارت عکس/KUS به چت/پست الکترونیکی.
بدون 3-D امن 2، بدون نشانه گذاری ؛ صرفه جویی در PAN/CVV به حساب.
بدون 2FA/Passkeys ؛ کوکی ها بدون «HttpOnly/Secure».
نیاز به ACA/پیشرفت برای بازی/پرداخت.
سیاست حفظ حریم خصوصی بدون حفظ اطلاعات/انتقال.
11) قالب کارت تأیید (یک سایت را پر کنید)
لینک دامنه/مجوز/رجیستری:
قفل = امن ؟ نه، اينطور نيست نسخه TLS، رمز، گواهی، HSTS و نحوه ساخت فرم پرداخت را مشاهده کنید.
آیا می توانم یک نقشه در سایت خود وارد کنم ؟ امن تر - از طریق iframe/تغییر مسیر PSP. اگر سایت PAN خود را مدیریت کند، باید با PCI DSS (نادر) مطابقت داشته باشد.
هنجارهای SMS-2FA ؟ TOTP بهتر/FIDO ؛ SMS یک عقب نشینی است.
اسناد KYC برای گپ زدن ؟ نه، اينطور نيست فقط از طریق بوت لودر کابینه در HTTPS.
نتیجه گیری
ورودی امن داده ها و پرداخت ها «قفل در نوار آدرس» نیست، بلکه مجموعه ای از نشانه ها است: TLS مدرن، HSTS، گواهی بدون شگفتی، فرم های پرداخت از PSP با نشانه گذاری و 3-D Secure 2، 2FA/Passkeys، جلسات امن و KYC کابینه. یک حسابرسی 15 دقیقه ای را انجام دهید، سایت را در یک ماتریس 100 نقطه قرار دهید و پروژه هایی را با پرچم های قرمز قطع کنید - به این ترتیب شما در هنگام بازی برای پول، خطر ابتلا به سرقت و نشت اطلاعات را به حداقل می رسانید.
