购物车应该通过SSL/TLS安全吗？

Question

所以，非常直接的问题。有人告诉我所有的购物车都应该安全。我可以看到在某些情况下这是有益的..。但所有的例子？

我意识到通常大车是通过会话存储在服务器上的，但最终必须将购物车的细节发送给用户，这样他们才能看到购物车中的内容。

这对谷歌来说是非常困难的，因为所有这些都是商业购物车的广告。

问:保护所有购物车的安全是一种标准/典型吗？(显示购物车的网页)

Answer 1

简单的回答是肯定的。在通信密码或支付细节时，您已经需要加密，因此很容易将加密扩展到整个站点。这甚至可以简化一些事情。是的，为加密的页面服务比为普通文件提供更多的计算量，但是我们已经开始普遍期望HTTPS无处不在(尤其是在2013年以后)。

更微妙的答案是，很少有真正需要保护的行为，即密码或支付细节等秘密的交流，以及最后的、具有法律约束力的购买行动，即在检查购物车时。通常，购物车中的项目(或者将项目添加到购物车中)不一定要受到保护，但这与用户的信任关系迅速而松散。

在保护用户数据方面也可能有法律要求，这可能要求对连接进行加密。

Answer 2

这取决于你说的是哪个阶段。

买购物车的钱？这必须是安全的；您可能涉及到财务数据(或非常类似的数据)。如果不能确保这一点，几乎所有的司法管辖区都会给你带来麻烦。

传送到哪里的配置？这是一个非常好的主意，使它是安全的；它肯定很可能是个人识别的信息。如果不能确保这一点，在某些司法管辖区，你就会陷入麻烦；而另一些人则不那么烦恼。

添加物品到购物车，查看当前购物车的内容，还是删除现在-不想要的项目？严格地说，不需要安全，假设在退房阶段有一个确认步骤，但是让其他人通过添加或从客户的手推车中删除随机项目来恶作剧仍然是不可取的。你能想象如果某个脚本孩子决定在每个订单中添加100双昂贵的花边内衣，仅仅是为了好玩，对你网站用户的意见会有什么影响吗？(好吧，对一些客户来说，这可能是可以的，但他们很可能是少数。)

确保购物车完全安全的成本并不太大，因为您已经需要从安全操作的角度考虑这个过程的一部分。由于现代计算和网络能力使得额外的技术负担非常有限，您最好完全安全。