Discussion :

[Miko95]

Bonsoir,

Je souhaite créer un site de commerce en ligne en ASP.NET et je me renseigne depuis quelque temps sur le coté sécurité.
J'ai regardé au sujet de la gestion des utilisateurs et j'ai vu que .NET propose des classes dans ce but. Ma question est, est-ce que l'on peut se fier à ce système ou il existe d'autres systèmes plus sécurisées qu'utilisent en général les sites de e-commerce.
A part ca, je me suis renseigné sur le système de paiement en ligne par carte bancaire, les banques proposent des systèmes sécurisés ou l'utilisateur est redirigé depuis le site de vente vers celui de la banque mais cela nécessite un envoi d'informations vers le serveur de la banque. Ma question est, est ce que les informations sont envoyées de façon normale(protocole HTTP) comme pour la plupart des sites ou de façon sécurisée(SSL)?

Merci d'avance

[Nathanael Marchand]

Pour avoir travaillé dans le e-commerce:
1) oui le système de gestion des utilisateurs asp.net est fiable et est utilisé
2) tout se passe évidemment en HTTPS (c'est TLS et non plus SSL)
Tu as plusieurs moyen pour faire payer ton utilisateur, ici tu parles de paiement déporté. Mais saches que tu as aussi le paiement intégré: l'utilisateur ne verra jamais le site de ta banque, ton site servira d'intermediaire.

[Miko95]

Merci pour la réponse. Connais-tu un tutoriel sur le fonctionnement de TLS et comment l'utiliser?
Quand tu dis tous se passe en HTTPS, tu veux dire pour toutes les pages du site ou seulement celles ou il y a un échange d'informations confidentielles?

[Nathanael Marchand]

Ce qui est nécessaire:
Juste avant de payer, le client est sur la page de récapitulatif. Il clique sur le bouton payer. Toi en recevant cet appel tu va interroger la banque et tu lui demandes une page de paiement pour un montant de XX€. La banque va te renvoyer une url du genre https://secure.mabanque.fr/secure.cgi
Ca sera a toi de rediriger ton internaute vers cette page de paiement.
La seule page sécurisée https est celle de ta banque. Cela est suffisant.

Ce qui est conseillé:
A partir de la page de login, que tout ton espace soit en https

[Miko95]

Sécuriser toutes les pages après le login serait bien par rapport au cookie de session(qui peut etre intercepté), c'est ca?
Sinon j'essaye de trouver un tutoriel sur la sécurisation pour les sites web d'e-commerce, avec toutes les différentes attaques spécifiques à ces sites(incluant celles communes à tous les sites).
De plus, je n'ai toujours pas trouvé de tutoriel sur l'utilisation de TLS, je trouve des documents sur le fonctionnement mais pas qui décrit comment mettre en pratique.

[Nathanael Marchand]

Mettre en pratique?