Maglumatlary we tölegleri nirede ygtybarly girizmek - SSL, şifrlemek
💡Maksat şahsy/töleg maglumatlaryny ygtybarly girizip boljak saýtlary tutmak, fişing we syzmak töwekgelçiligi bolan saýtlardan çalt aýyrmak.
1) Saýtyň howpsuzlygynyň esasy derejesi
TLS diňe 1. 2/1. 3 (ýok 1. 0/1. 1).
Häzirki zaman şifrleri: AES-GCM ýa-da ChaCha20-Poly1305 (perf. mobile).
PFS (Perfect Forward Secrecy) — через ECDHE.
Hereket edýän şahadatnama (SHA-256), RSA ≥ 2048 ýa-da ECDSA açary P-256/384.
HSTS (has gowusy preloaded): HTTPS-e berk mejbur etmek.
HTTP-den HTTPS-e kadadan çykma ýok.
Certificate Transparency (SCT) - şahadatnamanyň jikme-jikliklerinde görünýär.
2) Şahadatnamany 30-60 sekuntda nädip barlamaly
1. "Gulpy" basyň → Şahadatnama:
- Kime berildi = takyk domen/alt domen (SAN).
- Kim berdi - tanalýan CA.
- Wagt gutarmady/ertir däl. 2. В DevTools → Security:
- TLS 1. 2/1. 3, ECDHE и AES-GCM/ChaCha20.
- "mixed content" ýok (HTTPS sahypasynda HTTP suratlary/skriptleri).
- 3. Töleg sahypasyny açyň: Form domeni web sahypasyna gabat gelýär ýa-da iframe-de belli PSP.
- TLS/şahadatnama: wersiýa/şifr/CA/möhlet/HSTS/CT
- Tölegler: PSP-iframe/redirekt/ 3-DS 2/tokenizasiýa/usullar we SLA/same-method
- Hasap: 2FA/Passkeys/secure cookies/session dolandyryşy
- KYC/Privacy: kabinet aploady/saklanyş möhleti/e-poçta gadaganlygy
- Öň gorag: CSP/frame-ancestors/referrer-policy
- Mobail: ofits. Stores/No ARC/Uzantylar Jemleýji bal (0-100):
- 12) FAQ (gysgaça)
3) Goralýan tölegler: kadany näme hasaplamaly
PCI DSS: Sahypa PAN/CVV ýygnamaýar - kartyň hosted fields/iframe PSP ýa-da üpjün edijiniň töleg sahypasyna redirektiň içindäki meýdanlary.
Tokenizasiýa: kartoçka tokene öwrülýär; saýtda diňe "last4" we token saklanýar, hiç haçan CVV.
3-D Secure 2. x/SCA: bankda push-tassyklama/biometriýa.
Apple Pay/Google Pay: Tor bellikleri, eller bilen iň az giriş.
Bank hasabynyň usullary (PayID/Osko, ş.m.): takyk jikme-jiklikler we hasaba alnandygyny tassyklamak görkezilýär; "Kartyň skrinini söhbetdeşlige ibermek" soragy ýok.
Kripto tölegleri: adres/QR PSP sahypasynda döredilýär, mukdary/tory ýazylýar, tor we komissiýalar barada duýduryş bar.
4) Sessiýalar we giriş
Passkeys/ FIDO2 ýa-da 2FA (TOTR/app, FIDO-açar; SMS - ätiýaçlyk warianty).
Куки: `Secure`, `HttpOnly`, `SameSite=Lax/Strict`; Taýmaut boýunça awto-logut.
Enjamlary dolandyrmak: işjeň sessiýalaryň sanawy, "ähli enjamlardan" çykmak.
E-poçta/puşa girmegiň/paroly üýtgetmegiň alertleri.
5) Öň we arka gorag (gytaklaýyn bellikler)
CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, frame-ancestors (anti-klikjeking).
Töleg sahypasynda üçünji tarap "çep" skriptleri ýok (anti-skimmer/Magecart).
Maglumat çäklendirmesi/masking: profilde diňe "last4" we gizlenen e-poçta/telefon görkezilýär.
6) KUS/resminamalar - nädip howpsuz ýüklemeli
Diňe ygtybarly kabinet arkaly (HTTPS/TLS 1. 2 +) ýükleýji bilen; Resminamalary söhbetdeşlige/poçta arkaly ibermäň.
Goldanýan formatlar (PDF/JPG/PNG), ululyk çäkleri, açyk saklamak/aýyrmak syýasaty.
Suw belgileri ("diňe KYC\[ site ]\[ senesi]"), gizlin kart belgileri/QR.
Gizlinlik syýasaty: saklanyş möhleti, üçünji taraplara (KYC-üpjün ediji), saklanylýan ýurt.
7) Mobaýl we goşundylar
ARC/giňeldilmezden: brauzerde (HTML5) ýa-da resmi dükanlarda (App Store/Google Play) oýnaň.
Programmanyň hukuklary - iň az; "SMS/aragatnaşyklar/jaňlar" ýok.
Jemgyýetçilik Wi-Fi - diňe VPN-den we KUS/kartoçkany girizmezden.
OS/brauzer awto täzelenmeleri goşuldy.
8) Sahypanyň çalt barlagy (15 minut)
1. Ygtyýarnama/reýestr (2 minut): saýtda - nomer we basma, reýestrde ýuridik şahs/domen gabat gelýär.
2. TLS/şahadatnama (2 minut): gulp → şahadatnama (SAN, möhlet, CA); DevTools → TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20.
3. HSTS/redaktorlar (1 minut): mejbury HTTPS, şahsy hasabyň/kassanyň HTTP wersiýasy ýok.
4. Töleg görnüşi (4 minut): hosted fields/iframe PSP, no 'name = "cardnumber"' site kodunda; 3-D Secure 2. x; tokenizasiýa; usullary we SLA tölegleri çap edildi.
5. Hasap (3 minut): 2FA/Passkeys goşuň; giriş/enjam ýazgylaryny barlaň; çerezler 'HttpOnly/Secure'.
6. KYC (3 minut): kabinetdäki ýükleýji, Gizlinlik syýasaty, e-poçta arkaly ibermegi gadagan etmek.
9) Howpsuzlyga baha bermek matrisi (100 bal)
TLS/şahadatnama - 20 (TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20, CT, HSTS)
Tölegler/PCI - 25 (PSP-iframe/redirekt, tokenizasiýa, 3-DS 2. x, PAN/CVV saklamazdan)
Sessiýalar/2FA - 15 (Passkeys/TOTP, secure cookies, enjam dolandyryşy)
Öň gorag - 10 (CSP, referrer-policy, frame-ancestors, kassada üçünji tarap skriptleri ýok)
KYC/Privacy - 10 (kabinet aploady, saklanyş möhleti, e-poçta gadaganlygy)
Ygtyýarnama/reýestr - 10 (reýestre basmak, ýuridiki şahsyň/domeniň gabat gelmegi)
Mobail - 5 (ARC/giňeldilmez, ofitsler. hekaýalar)
Tölegleriň aç-açanlygy - 5 (usullar, min/max, komissiýalar, SLA, same-method)
Düşündiriş: ≥ 85 - güýçli maslahat; 75-84 - dogry; 60-74 - ortaça; <60 - gaça duruň.
10) Gyzyl baýdaklar (birbada geçip)
Giriş/töleg sahypalarynda HTTPS ýok, garyşyk mazmun.
TLS 1. 0/1. 1, köne şifrler, öz-özüni gol çeken/möhleti geçen şahadatnama.
Sahypanyň DOM kartoçkalarynda (iframe PSP-de däl); kartoçkanyň/KUS suratyny söhbetdeşlige/poçta ibermek baradaky haýyşlar.
3-D Secure 2 ýok, bellik ýok; PAN/CVV-ni hasabyňyzda saklamak.
2FA/Passkeys ýok; 'HttpOnly/Secure'.
Oýun/töleg üçin ARC/giňeltmek talap edilýär.
Maglumatlary saklamak/geçirmek möhletleri bolmazdan gizlinlik syýasaty.
11) Barlamak kartoçkasynyň şablony (bir sahypa dolduryň)
Domen/ygtyýarnama/reýestre baglanyşyk:
Gulp = howpsuz? Ýok. TLS wersiýasyna, şifrine, şahadatnamasyna, HSTS we töleg görnüşine serediň.
Sahypada kartoçkany girizip bilersiňizmi? Has ygtybarly - PSP iframe/redirekt arkaly. Sahypanyň özi PAN-y gaýtadan işleýän bolsa, PCI DSS-e laýyk gelmelidir (seýrek).
SMS-2FA? Has gowusy TOTP/FIDO; SMS - ätiýaçlyk warianty.
Söhbetdeşlik üçin KYC resminamalary? Ýok. Diňe HTTPS-de kabinet ýükleýji arkaly.
Jemi
Maglumatlaryň we tölegleriň ygtybarly girizilmegi "salgy setirindäki gulp" däl-de, eýsem alamatlaryň jemidir: häzirki zaman TLS, HSTS, garaşylmadyk şahadatnamasy, PSP-den tokenizasiýa we 3-D Secure 2, 2FA/Passkeys, goralýan sessiýalar we KYC-apload otagy. 15 minutlyk auditden geçiň, 100 ballyk matrisa boýunça sahypa baha beriň we gyzyl baýdakly taslamalary kesiň - şeýlelik bilen pul oýnanyňyzda maglumatlaryň kesilmegi we syzmagy töwekgelçiligini azaldar.
