امنیت در معاملات اینترنتی

نام نویسنده: سعيد نوری‌آزاد

به گفته بسیاری از ریاضی دانان و دانشمندان عرصه رایانه، رمز نگاریcryptography) ) یکه تاز پیشرفت میان علوم دیگر است و هیچ علمی از علوم بشری نتوانسته است تا این حد پیشرفت کند و سرچشمه این پیشرفت جایی جز ادغام نبوغ ، منطق ریاضی و علوم رایانه نيست. این روشها و شگرد‌ها برای ما که در دنیای ارتباطات زندگی می کنیم نقشهای متفاوتی را ایفا میکنند، مانند ایجاد امنیت ارتباط، پنهان سازی اطلاعات ، احراز هویت و بسیاری از کار‌های دیگر.
برخی جستجوگرها از تکنیکی به نام SSL Secure Socket Layer(سوکتهای لایه امن) استفاده می کنند تا اطلاعاتی را که بین مرورگر شما و وب سرور مبادله می شود، رمزنگاری کنند. هنگامی که علامت «قفل» در گوشه پایین مرورگر نمایش داده می شود، به این معنی است که مرورگر ارتباط رمزشده امن با سرور برقرار کرده است و لذا ارسال دیتای حساس مانند شماره کارت اعتباری امن است.
شنل قرمزی
در این باره که آیا واقعا این سیستم امن است و می توان از این طریق با اطمینان دادو ستدهای حساس مالی را رد و بدل کرد، میتوان گفت پاسخ این است که SSL (سوکتهای لایه امن) فقط ارتباط بین مرورگر شما و وب سرور را امن می کند و برای محافظت از اطلاعات شما در آن سرور کاری انجام نمی دهد. این مساله بعنوان مساله شنل قرمزی در دنیای اینترنت مطرح است که نام آن بر گرفته از همان داستان شنل قرمزی است.
“ارتباط مبتنی بر اعتماد و نه استناد” واژه‌ای آشناست برای مشتریان بازار شبکه .در شرکت های بزرگ که می توانند سرورها و خطوط ارتباطی با ظرفیت های بالا را اختصاصی و برای ارتباط مستقیم تهیه کنند، تا جایی که شما بتوانید به شرکت اعتماد کنید، مشکلی ایجاد نخواهد شد. اما بسیاری از شرکت های کوچک تر توانایی تهیه سرور اختصاصی را ندارند. آنها از «سرور های برنامه های کاربردی ، application servers » استفاده می کنند و این جایی است که عدم امنیت بوجود می آید. شما مجبورید به میزبانی که هیچ شناختی از آن ندارید، اطمینان کنید و به ایمن بود نحوه دریافت اطلاعاتتان از آن میزبان توسط شرکت مورد نظرتان اعتماد کنید و تضمینی برای ایمن بودن این ارتباط نیست.شاید هم بتوان گفت معمولا امنیت به درستي موجود نيست.
امنیت کاذب
بیشتر ارایه دهندگان خدمات وب برای مشتری های خود یک برنامه CGI ارائه می دهند که FormMail نام دارد. آنچه که این برنامه انجام می دهد این است که محتوای یک فرم اینترنتی را، مانند فرمی که شما اطلاعات کارت اعتباری خود را در آن قرار می دهید، می گیرد و از طریق ایمیل به شرکت ارسال می کند. برای این ایمیل نه محافظتی وجود دارد و نه رمزنگاری صورت می گیرد. آنچه که اتفاق می افتد این است که شرکتی که شما از آ خرید می کنید، ظاهری امن به خود می گیرد تا شما اطلاعات حساس را وارد کنید. سپس همان اطلاعات را از طریق ایمیل معمولی برای شرکت ارسال می کند. در واقع تمای این روال برای دادن یک احساس امنیت کاذب به شماست. بسیاري ازشرکت های کوچک هستند که سایتشان توسط شرکت‌های خدماتی، میزبانی می شود که ابداً سرویس های امن ارائه نمی کنند. این سرویسها برای اجرا نیاز مند به یک سری زیر ساخت هستند که معمولا میزبانان این هزینه ها را قبول نمی کنند.
شاید احساس ناخوشایندی باشد وقتي بدانید سایتها نیز میتوانند دروغ بگویند و یا به تعهداتشان عمل نکنند.حتی می شود نسبت به امنیت اطلاعات شخصی شما ی تفاوت باشند. گاهي اوقات خود شرکت ها نیز اعلام می کنند «هدف یک فرم امن ، راضی کردن کاربران به وارد کردن جزئیات کارتشان است».حال خود فکر کنید که اگر ارسال اطلاعات کارت اعتباریتان به شرکت بدون استفاده از رمزنگاری با پست الکترونیک امنیت کافی را داشت، چرا خودتان این کار را نکنید؟یعنی چرا خودتان آن را ایمیل نکنید.اما به هر حال هنوز، این شرکت‌ها مشتریانی دارند که به آنها پول می دهند تا به آنها این حس کاذب را بدهند، که به طور حتم کسی جوابگوی سوء استفاده از کارتهایشان نخواهد بود .
راه کار
در این آشفته بازار امنیت که با وجود تمام این شرکت هایی که به تاجران راه هایی ارائه می کنند تا به مشتریانشان این احساس کاذب امنیت را بدهند، یک شرکت کوچک بمنظور امن کردن واقعی معاملات، چه باید بکند؟ یک روش برای آن شرکت، استفاده از ایمیل های رمزشده مانند PGP است. در حالیکه بعضی از این روش استفاده می کنند، برای بعضی شرکتهای تجاری کوچک بدلیل نداشتن افراد خبره برای تنظیم و استفاده از PGP، این کار مشکل است. بعضی شرکت های میزبان اینترنت وجود دارند که بخش سرور این ارتباط را تنظیم می کنند، اما در طرف مقابل که یک شرکت کوچک تجاری است باید بتواند PGP را روی کامپیوتر خود نصب و استفاده کند.
روش امن دیگر، ذخیره اطلاعات در پایگاه داده ای روی وب سرور اما ر جایی است که از وب دسترسی مستقیم به آن ممکن نباشد. زمانی که شرکت میزبان اینترنت قابل اعتماد نیست و یا قصد دارید امنیت بیشتری را به وجود آورید، این پایگاه داده می تواند رمزنگاری شود. تاجران بعداً می توانند اطلاعات مربوط به معاملات را با استفاده از ارتباط رمزشده SSL (سوکتهای لایه امن) خود بازیابی کنند. اما در این روش فروشنده باید بتواند سیستم امن را برای خود ایجاد کند. این عمل به میزان مشخصی از تواناییهای برنامه سازی احتیاج دارد تا سيستم نوشته شود
بنابراین روند مورد نظر امن به این شکل خواهد بود؛ فرم سفارش امن است و اطلاعات بین کامپیوتر مشتری و سرور بصورت رمز شده خواهد بود. در سرور، اطلاعات بصورت رمزشده در یک پایگاه داده ذخیره می شود. سپس فروشنده از طریق ایمیل از رسیدن سفارش ها مطلع می شود (هیچ گونه اطلاعات مهم و حساس در ایمیل ها قرار ندارد) و بالاخره، فروشنده اطلاعات را از طریق یک ارتباط امن دیگر بازیابی می کند.
بنابراین، وقتی که را ههایی برای تامین امنیت واقعی برای معاملات وجود دارد، چگونه باید مشتری را مطلع کرد که معامله واقعاً امن است یا خیر؟ در حال حاضر راه ساده ای وجود ندارد. مشخصاً، شما می خواهید مطمئن شوید که فرم امن است، بعلاوه می خواهید مطمئن شوید که شرکت به شما حس کاذب امنیت نمی دهد و این حس واقعی است. یک راه ای است که به سیاست های حریم خصوصی آن شرکت نگاهی بیندازید (البته با این فرض که چنین چیزی وجود دارد) و مطمئن شوید که در آن ذکر شده است که «اطلاعات کارت اعتباری هیچ مشتری هرگز بدون رمزنگاری از طریق اینترنت ارسال نخواهد شد.»
بهرحال، هنوز روش کاملی برای تضمین امن ماندن اطلاعات وجود ندارد. بنابراین به جمله Caveat Emptor می رسیم که «بگذارید خریدار خود آگاه و مواظب باشد.»

منبع : سرمايه