【问题标题】:Safe way to Store Credit Card Info Across Pages ASP.NET MVC跨页面存储信用卡信息的安全方法 ASP.NET MVC
【发布时间】:2011-01-02 17:52:45
【问题描述】:

我正在运行 ASP.NET MVC,需要一种安全的方式来临时存储信用卡数据(我有一个订单确认页面,该页面发布到实际处理订单的操作)。我尝试了 TempData,但它在帖子中无法生存。由于 session 存储在服务器上,我可以安全地使用它吗?

谢谢。

【问题讨论】:

标签: asp.net-mvc security


【解决方案1】:

课程不安全(感谢评论者对此进行了纠正)。它们不仅容易受到暴力攻击,还有其他几个漏洞。 http://www.dreamincode.net/forums/showtopic61503.htm

如果您绝对必须使用会话来存储数据,请确保使用合适的会话超时,以免人们不小心将信用卡详细信息留在公共计算机上。

不过,我强烈建议您查看支付卡行业数据安全标准 (PCI DSS)。 https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

【讨论】:

  • +1(在很大程度上)用于 PCI DSS。 -1(很大程度上)表示“会话是安全的”。会话是不安全的。不,你不需要蛮力来窃取它们。 Google ASP.NET 会话劫持。
  • @Craig 谢谢你,我更正了答案。我不知道!
  • +1 谢谢,@bytenik。我一定会遵守这些政策。
【解决方案2】:

在流程的最后一步之前,您甚至不应该请求这些数字。此外,您也应该在整个过程中使用 SSL。如果您决定将它们存储在 Session 中,请对其进行加密以增加安全性。

【讨论】:

  • 好建议。我知道如果您持久保存数据,您必须遵守某些政策,但很高兴我在将它们放入 Session State(即使使用 SSL)之前询问过。
【解决方案3】:

会话状态会持久化信息,但它并不安全。请注意,任何类型的坚持都可能违反银行或信贷机构的服务条款。他们中的大多数人对您可以使用这些信息做什么都有非常严格的规定。

【讨论】:

  • 显然我的回答暗示“会话是安全的”。我不认为我这么说,甚至指出坚持 CC 是你不应该做的事情,但无论如何,我进行了编辑以更清楚地说明这一点。
猜你喜欢
  • 1970-01-01
  • 2010-12-29
  • 2012-10-14
  • 2011-03-27
  • 1970-01-01
  • 2010-12-18
  • 2013-04-11
  • 2019-05-29
相关资源
最近更新 更多