Help. E' indipensabile una connessione https per VirtueMart?

[stenox76]

Salve a tutti ragazzi,
please halp me...il mio dubbio è questo:
siccome tra i requisiti minimi del componente VMart è indicata questa frase
"PHP puo' essere compilato con il supporto per https (openSSL) e cURL!" (oltre agli altri requisiti PHP, MySQL ecc. che comunque rispetto)
Quindi Ho interrogato il mio hosting linux e mi ha risposto che i server condivisi non dispongono della comnnessione https, mi chiedevo se Vmart funziona anche in modalità non protetta e quali sono le problematiche relative a questa scelta.
Ho letto qualcosa in merito all'acquisto di certificati SSL, ma nn ci ho capito molto.

Sul forum ho visto che si può disabilitare la connessione https dal componente, ma cosa comporta?

Attendo con impazienza di fare un pò di chiarezza.
Grazie a tutti.

[jk4nik]

l'https (ssl) è quel supporto che crittografa i dati fra il server i il browser che si connette interagendo con il tuo sito.

Non è necessario attivarlo per far funzionare VM, in quanto i dati per il pagamento non viaggiano in chiaro, perchè usando un gateway esterno per incassare da Carta di Credito (per esempio Paypal o BancaSella o altri servizi a pagamento che ti vengono offerti dalla tua banca) i dati sono crittografati con certificato dal gateway stesso e tu non vedi e non memorizzi nulla nel tuo sito che abbia a che fare col pagamento od altri dati sensibili.

I dati necessari per la fatturazione e la spedizione non è necessario che siano crittografati.

E' comunque un servizio che eventualmente in VM puoi attivare in un secondo momento semplicemente mettendo https:// nell'indirizzo del sito protetto da ssl.

ciao
jk

[stenox76]

Grazie mille jk.
la mia preoccupazione era quella che i dati sensibili viaggiassero felici... :-)

Quindi basterà disabilitare le funzioni https nelle opzioni del componente giusto?

Grazie ancora

[jk4nik]

yes sir.

comunque evita di farti abilitare dal tuo provider gratuitamente usando un certificato condiviso del server, perchè la crittografia ci sarebbe, ma chi naviga prima di entrare nelle pagine protette vedrebbe la classica finestra minatoria del browser che ti dice che stai entrando in un sito del quale è sconsigliata la navigazione, perchè non trova corrispondenza fra il dominio memorizzato all'interno del certificato comune col tuo nome a dominio.

c'è anche un certificatore che fa il servizio di generazione di certificati gratis, per server, per dominio e per la posta, www.CACERT.org , però difficilmente il tuo hosting ti farà installare quel certificato... loro vogliono che il certificato lo compri tramite loro, per lucrarci sopra ovviamente.

ciao
jk

[stenox76]

Bhè quella finestrella sarebbe un problema...

se me la trovassi davanti e fossi un utente  poco esperto, non continuerei la navigazione.

Quindi sarebbe sufficiente chiedere di istallare un certificato al mio provider per evitare questo inconveniente? Oppure trattandosi di un server condiviso il problema persisterebbe?

[jk4nik]

non ci siamo capiti:

1 - NON usi ssl e nessuno vede nessun avviso. Generalmente la soluzione migliore se usi pagamenti esterni al sito.

2 - Usi ssl, acquistando il certificato e relativo servizio dal tuo provider. L'utente non vede nessun avviso. Soluzione da valutare se il tuo sito tratta informazioni personali riservate, tipo medicinali o siti di incontri fra i vari sessi.

3 - Usi ssl con un certicato gratuito condiviso dal server e servizio gratuito del tuo provider. L'utente vede la finestrella o la pagina minatoria. Sconsigliato

4 - Usi ssl con certificato cacert. Cosa non sempre fattibile, nonostante in italia ci siano siti istituzionali che lo usano (per non spendere 200 euro all'anno ) Sconsigliato comunque finchè i grandi produttori di browser OpenSource e non, non mettono come autorità di certificazione cacert fra quelle "buone"


sostanzialmente cacert al momento è utilizzabile egregiamente con server radius interni per gestire le connessioni wireless negli access point.



in pratica partirai con l'opzione 1 e poi in seguito se ne sarà necessario o si verificano le condizioni per... passi alla opzione 2

[stenox76]

Grazie jk chiarissimo.

[cesare_t]

grazie anche da parte mia.
molto chiaro.

[Edoardopost]

Buongiorno, mi inserisco nella discussione perchè mi interessa molto, e credo sia inutile aprire un nuovo topic...

"1 - NON usi ssl e nessuno vede nessun avviso. Generalmente la soluzione migliore se usi pagamenti esterni al sito."

Rispetto a quest'affermazione, il pagamento tramite ssl si renderebbe necessario in pratica solo per la carta di credito, giusto ? Perchè paypal, postepay, bonifico bancario anticipato hanno mezzi di "protezione" propri. E' corretto ?
Grazie mille...

[jk4nik]

rileggi bene... che dici il bonifico mica te lo manda col tuo sito per esempio... lo fa allo sportello o con il suo home banking

[Edoardopost]

Si, chiaro... hem, ho detto una stronzata. E' il problema di quando lavori in multitasking.
Se si escludono pagamenti con carta di credito tutti gli altri mezzi hanno proprie protezioni...no ?

[jk4nik]

ma che c'entra con ssl? invece di multitasking, fai una cosa alla volta e leggiti per bene con google cosa è ssl (https)

ciao
jk

[Edoardopost]

Perchè non c'entra ssl non è che stai lavorando in multitasking anche tu ? 

Ssl è un certificato di protezione che crittografa e rende sicuro lo scambio di informazioni in rete. Nel caso di virtuemart tra l'acquirente ed il sito ecommerce. Mi sembra di aver capito che se lo scambio di informazioni tra l'acquirente ed il sito passa tramite gateway esterni (paypal, postepay etc), ssl non sia necessario. E mi sembra di aver capito che se invece nel sito c'e' la possibilità di inserire direttamente i dati della carta di credito (senza passare per gateway esterni), ssl sia necessario. E' corretto ?
Grazie per la pazienza...

[jk4nik]

parzialmente corretto, comunque il discorso è OT in questa board e vista la confusione che hai in testa ti consiglio di fare una ricerca approfondita in rete... per schiarirti le idee.

ciao
jk

[Edoardopost]

Credevo di averle parzialmente chiare, leggendo in giro...ecco perchè ho scritto qui... 
Grazie jk

[jk4nik]

appunto per quello, e visto che sono parzialmente chiare è meglio che ti documenti su siti che danno queste informazioni in maniera esaustiva

ciao
jk