Info om sikkerhed

Jeg er klar hvis du har specifikke spørgsmål. Jeg ser lige om jeg kan finde lidt links

Her er lidt

http://www.hha.dk/idl/HD_LOGISTIK/modul_4_02/Lektion6.pdf
http://www.itb.dk/artikler/nyt13-2002/artikel.htm

Her er lidt om digital signatur, der er en af forudsætningerne for sikkerheden:

http://www.kl.dk/1341/
http://www.fsk.dk/cgi-bin/theme-list.cgi?theme_id=7471
http://www.e.gov.dk/sitemod/design/layouts/default/index.asp?pid=1910

Der er mere sådan noget som http://www.coinclick.dk/index.jsp , jeg er ude efter...

Kender du noget til den slags?

Det kommer an på hvad du er ude efter. Sikkerheden bag eller sites, der køre det samme f.eks. http://www.paypal.com/

Her er en samling atikler inden for emnet, se mo jeg har ramt det du søger

http://www.webdevelopersjournal.com/columns/ecommerce3.html
http://www.webdevelopersjournal.com/articles/test.html
http://www.webdevelopersjournal.com/articles/card_fraud.html
http://www.webdevelopersjournal.com/articles/online_store_builder.html

Jeg har kigget overfladisk på dine nye links og det ser ud som om der er noget af det rigtige... :-)

Har du nogen fornemelse om hvor svært det ville være at lave et system som Coinclick eller Paypal?

Hvaa' har du ingen bud på det eller hva'?

Det er ikke let, der er flere forskellige overvejelser du skal ind i.

Kryptering så kommunikation ikke kan opfanges og så konti oplysninger ikke kan opsnappes. Du er nødt til at skabe tillid til at dit system virker, ellers vil ingen bruge det

Signatur. Der er nødt til at være sikkerhed for at de folk der handler er hvem de giver sig ud for at være, oso.osv.

Som jeg ser det, vil der være specialiserede systemer der håndtere selv betalingen, resten kan du sagtens selv lave. Husk tilid er vigtig begge veje

Vil du dermed sige at "specialiserede systemer" er for stor en mundfuld?

Ja og nej, dit problem er tilliden fra brugerne. Det system du laver vil til at starte med ikke kunne prale med stor udbredelse, mange transaktioner med succes og stor tilslutning fra andre sites og leverandøre. Et produkt som paypal bruges mange steder, hvorfor brugerne tror på det og ikke har de store tvivl ved at anvende det.

Selve betalingssystemet er ikke meget svært at lave, men når du blander kryptering og signatur ind i det bliver det lidt mere kompliceret

nå jo, men her taler vi jo "bare" om et skole projekt.

Så kan du jo håndtere det ved at klare sikkerheden på en anden måde end kryptering og signatur.

Jeg foreslår at du laver et logon system, med passwords og brugernavne i en database og så validere siderne, så du er sikker på at de folk der handler er logget på. Selve problematiken omkring kryptering og sigantur kan du vel skrive dig ud af.

Et sådant system kunne laves i php/mysql på apache eller asp/access på IIS. De grundlæggende faciliteter er ikke overvældende svære

Hvis man lave f.eks. en online shop, kan man vel ikke forlange at brugerne skal være logget på, det ville jeg i hvert fald ikke bryde mig om.

Mht. at lave et logon system i asp, er ikke noget problem: det har jeg allerede lavet.... :-)

Du skriver "php/mysql" og "asp/access" - det er vel ikke ensbetydende med at man ikke kan f.eks. lave asp/mysql?

Jeg kunne godt tænke mig at lave noget med kryptering, hvis det ikke er FOR svært...

Da du kan få mysql til windows, kan jeg ikke se at det skulle være et problem, asp er dog en microsoft ting hvorfor der ofte er lettere at sætte op til ms egene ting.

Mht kryptering er vi inde på et ret tungt område, for matematiske specialister. Med mindre du er stiv i universitets matematik, vil jeg ikke råde dig til at kaste dig ud i kryptering.
Det kan være at du kan bruge en eksisterende kripteringsmetode, f.eks. ssl eller pgp, mennnnnn det er ikke bare lige

Ok, ved du hvor man kan læse noget om ssl/pgp?

pgp på www.pgpi.org

Hvad angår ssl, er det generelle lidt svært, her er lidt
http://www.stanton.dtcc.edu/stanton/cs/admin/notes/ssl/

Ellers er må du fortælle mig hvilke protokoller/produkter/software du vil anvende og så finder vi noget specefikt om det

f.eks. ssl implementering i apache/IIS/osv osv osv

Øhh, det må blive i IIS 5.

Hvilke andre ting skal man tage stilling til?

IIS er web serveren med ASP.

så er der styresystemer, i dit tilfælde vil jeg veg foreslå windows 2000
mailserveren, kunne være exchange
databasen kunne være MS SQL server.
Firewallen foran dit system, skal være med dmz, f.eks Checkpoint eller raptor eller tilsvarende.

Det bliver en lidt dyr løsning og du skal vide at der findes en ret tilsvarende løsning med linuxprodukter, hvor softwaren er gratis. Det kunne være Apachy på linux med MySql som database, Qmail som mailserver og PIchains som firewall.

Ok, det var liige de ting jeg mente. Jeg tænke mere på det med protokoller...

Det selve udviklingen af systemet jeg interesserer mig for.

Så må du spørge direkte og specefikt, jeg har rimeligt styr på de forskellige protokoller og software derbruges

Hvilke protokoller er der og hvad er fordele/ulemper ved dem?

De mest almindelige protokoller er TCP/IP, UDP, SMTP, POP3, SSL, FTP, ARP M.M.

Nedenstående liste er en opgørelse over reserverede porte og deres tilhørende protokoller

http://sec.dynamicweb.dk/Default.asp?ID=119

Ud over disse findes en række proparitære protokoller, der er svære at finde gode oplysninger på. Disse findes især inden for sikkerhed

Ok, det ser ud til at vi snakker lidt forbi hinanden.

Jeg må nok lige gøre opmærksom på at jeg er ved at uddanne mig til datamatikker(næsten færdig), der for kender jeg godt tcp/ip osv. på et overfladisk neaveau.

Det jeg har brug for er dels, mere dybdegående teori om sikkerhed, dels info om hvordan man implementere det.

Jeg håber det er klart nok... :-)

Alt teori omkring internet protokoller behandles i RCF systemet. Du kan læse meget specefikt omkring den enkelte protokol i dens RFC.

Prøv dette link

http://www.rfc-editor.org/rfcsearch.html

Søg på f.eks. ssl, osv
Der vil du kunne finde meget info

Omkring sikkerhed og implementering kan jeg prøve at skrive lidt om det i aften

Ok, det lyder godt!! ;-)

Jeg venter i spænding!!! ;-)

Hear goes

Jeg mener at du er nødt til at anskue sikkerheden i to faser.

Fase 1 er den fase der drejer sig om sikring af selve websitet, sikring af drifter a

Hear goes

Jeg mener at du er nødt til at anskue sikkerheden i to faser.

Fase 1 er den fase der drejer sig om sikring af selve websitet, sikring af drifter (tilstedeværelse) sikring af oplysningerne (confidentialitet) og sikring af data integriteten (at data ikke kan ændres)
Her taler vi om operativsystem og applikations hardening, samt firewall med DMZ

Næste fase drejer som om sikring af selve betalingen. Her er der flere muligheder og forskellige styrende parametre.
Først bør du tale med et pengeinstitur for at sikre at dit system kan arbejde sammen med deres, der kan være tale om at pengeinstituttet har betalingsmoduler, de udbyder, f.eks. java moduler, eller at de bruger et browserbaseret system baseret på ssl og andet.

Du kan også vælge at købe færdige betalingsmoduler.

Jeg vil i morgen kontakte et firma jeg arbejder sammen med for at høre hvordan de i praktsis håndtere det på deres system

Mht. at købe færdige moduler... Ved du hvor meget de kan koste?

P.s. det er virkeligt fedt at du gider gøre Så meget. :-)

Jeg nåede ikke i dag, forsøger i morgen

Ok. Det er i orden... Jeg er dog ikke hjemme fra imorgen aften til lørdag.

Så når jeg ikke svare, ved du hvorfor... :-)

Så har jeg fundet noget godt info.

Selve betalingssystemet, kontrol af dankort, overførsels af penge, købes hos firmaet www.dibs.dk. kommunikationen mellem bruger og dit website, samt dit website og dibs sker krypteret med ssl.

Sleve krypteringen sker via den formular der håndtere overførslen og på www.dibs.dk finder du beskrivelse af hvordan det gøres.

Du finder her http://www.dibs.dk/n2butiks.htm en 10 punkts liste med en beskrivelse af hvordan det sættes op. Pris m.m. fremgår af siderne

Ok. Nu tror jeg, at jeg har nok info. :-)

Jeg takker mange gang!!!

(Skulle du få lyst til at finde mere siger jeg da ikke nej ;-) )

Og du vender bare tilbage hvis du finder på noget

øhh, Lever du af eksperten?? :-)