VeriSign为电子商务安全保驾护航

9月是Earthweb的安全月，于是有人问我是否可以写点电子商务安全方面的内容。因为刚办理完自己的VeriSign证书，所以我对在网上接受信用卡需要注意哪些事项略知一二。如果你正在考虑开办电子商务，或者只想了解一下在网上使用信用卡时如何确保安全，请读下去。本文对你会有诸多帮助。

我绝不会在网上将自己的信用卡号码交给任何人！这不安全！

哈！但你说不定会通过电话把信用卡号码告诉给一家邮购公司的完全陌生的人、或者把卡交给侍应生由其带着卡离开房间，或者交给柜台后面的人任其刷卡。

由于我在一个网站上真实体验过了实施服务器ID和安全套接层（SSL）的过程，我可以坦诚地说，在提交信用卡号码的所有方法当中，本人觉得使用网络最为安全。

与普遍观点相反的是，信用卡号码进入网络空间后，根本不会被使用计算机的人仍所窃取。它不会放在等着被非法闯入的某个文件当中（如果公司采取正确措施的话，应该不会）。此外，真正的优点在于，你确切地知道谁获得了信用卡号码。相比之下，一旦那个侍应生离开房间，谁都有可能拿到卡号。如果侍应生不老实，只须过后打一则电话，他的朋友就有了你的卡号，可以到处兜售。

本人无意危言耸听，但我知道有人确实有过这等遭遇。

那么，网上购物为什么更安全？

首先，我会关注买家。你不会把信用卡号码随便交给街上某个人，对吧？是的，你不会这样。至少我希望你不会这样。你只把信用卡号码交给自己信得过、而且知道因为某事而受理信用卡的人。

网上也是如此。买家首先要留意卖家。例如，假设你想在网上买本书。一旦选好了书，你把书扔进"购物手推车"，然后进行核查，你是否注意到已进入了安全服务器？

你使用的浏览器常常会弹出一个小话框，告诉你已进入安全服务器。如果你禁用了这个小话框，那么要稍加注意。看一看两个地方： 该站点的地址应该会显示：https://，看到http后面的那个s了吗？它就代表"安全"（secure）。

浏览器上面的小挂锁图标应该是合上的。如果开着，或者未出现，这表明你的信息未经过加密，切勿向站点提供任何信息。实际上，你应该离开此地。

现在仍有一些站点使用简单的"mailto"表格接受信用卡号码。如果你试图购买却找不到任何信息可以证明你的信息经过加密，就不要提供任何号码。读取输入至基本HTML表格的文本如同截获合用电话线一样容易。

OK，我看到了挂锁，那这代表什么？ 你完全可以肯定：你的信息已经过加密。这意味着即使有人设法截获了信息（这种可能性非常小），他也无法破译号码。从统计学上来讲，破译使用当今技术加密的信息是不可能的。

但要当心：建立SSL和加密目录非常容易。造成不要以为：挂锁合上就表明该站点是你想要联系的站点。点击挂锁，应该会有一个小话框打开，显示所谓的服务器证书。该证书是第三方提供的一个文件，它保证了你所联系的站点的合法性。

你是说，我会跑到其它站点不成？

不是常会发生这种事，但也不是没有。不法之徒会利用类似某一大学、企业或组织的名字建立一个站点，然后向误以为在进行真实交易的人们开始敛财。不法之徒把建立的站点和SSL伪装成合法的，这就是名为"欺骗"（spoofing）的伎俩。

如果用户点击挂锁，会看到该站点原来是假冒的。所以，即使你很肯定，也要进行核查。点击一下挂锁，看一看证书。

公司可以从哪儿获得证书？

这有不同途径，但最通常的途径来自VeriSign公司。VeriSign被称为是证书管理机构（CA）。

想建立欺骗站点的不法之徒要提供获得证书所需的有关信息异常困难。

我们夫妇俩申领VeriSign证书时，就受到了多方面的核查：

必须提供拥有域名的证书。

必须出示在域名注册所在城镇的营业执照。

必须向邓百氏公司（注：美国最具权威的征信公司）登记，以证明我们的身份。该公司给了我们一个所谓的邓氏号码。这相当于工商界的社会安全号码。

你可能会对VeriSign的员工不大放心。那么我告诉你，该公司只设在一个地方，员工都受到过背景调查，而且公司采取了五个级别的安全。

那么，我开始要买……

我登录上网，检查那个s和挂锁，点击挂锁，证实对方是我所要联系的。那么，如何才能肯定我的信息很安全呢？

一旦你进入了SSL，服务器就会发出一个数字证书ID。这是一长串庞大数字，采用40位或128位技术进行加密。你所用的浏览器就靠它知道这是不是安全区域。你瞧，在获准点击那把小挂锁之前，这一切都已发生了。

浏览器会通过将该ID与证书进行核对来对ID作出响应。如果两者匹配，服务器就会发送一把"会话密钥"。该密钥是另一个很长的加密数字，它只能用于某一次交易。如果你离开SSL后回来，整个过程就得从头来过。

与SSL相连的每个浏览器都使用同一个客户ID以验证服务器。之后，每个浏览器会收到不同的会话密钥。这样一来，每个会话采用的编码方式各不相同。这就使得要破译代码几乎不可能――就算你破译了，那也只是破译了一个。每个会话的加密方式都不同。所以企图破译一次次交易根本就无利可图。

可我的卡号放在服务器上……

一些站点以前把卡号放在服务器未加保护的目录上。黑客进入后就能偷走卡号。这是站点管理员所犯的愚蠢之举，但愿不会再次发生。只要稍有头脑，Web开发人员会把递交的信用卡号码放在安全目录内。

到了营业日最后，借助于使用口令系统就可以检索卡号。

公司如何取钱呢？

一旦你输入了卡号，公司就从服务器处获得卡号，这过程酷似其它公司接受信用卡。然后公司本身或旨在处理大量卡号的某家公司就会与银行进行电子交易，钱就在信用卡与帐户之间转帐。

一些公司甚至安装了能够自动转帐的系统。根本没有人能看到卡号。

以我为例，我们通过手工完成，直接连接至存有我们帐户的那家银行。交易经过了加密，而且迅即完成。会话持续时间不超过达成交易所需的时间。一旦我得到了验证号码，服务器就开始为我办理。

那么，这是不是绝对安全？

非也，没有什么是绝对安全的。在某些环节卡号仍有可能被窃取，但在交易期间无法从服务器那儿窃走。在此我想指出的是公司确保交易尽可能安全所能采取的一些步骤。

你已经明白了基本过程，我想你会认同这一观点：在提交信用卡号码进行购物的所有方法当中，网上送交卡号很可能是现有方法中最安全的一种。