Kreditkarten Infos übertragen

[Brauni]

Hallo

Wie kann man am besten die Kreditkarteninfos vom Onlineshop zum Inhaber übermitteln?
Verschülsseln mit crypt() ist klar nur wie transportiere ich die Daten am besten?
In eine DB speichern, inder der Inhaber dann die Bestellungen entgegen nehmen kann oder per Mail?

Wenn per Mail wie funktioniert dies über PHP?

greets
brauni

 

[KristophS]

Per Mail: [phpf]mail[/phpf]

 

[Brauni]

sollte man die kreditkarten infos verschlüsseln wenn man sie per mail an den empfänger schickt?

 

[Dr Dau]

Hallo!

Warum willst Du die Kreditkarten Infos an den an den Inhaber übermitteln?
Hat er seine Kartennummer vergessen?!
Viel wichtiger ist doch die Frage wie der Inhaber seine Daten zum Shop übermittelt.... und dass sollte.... muss per SSL Verbindung geschehen.
Und wenn Du dem Inhaber doch die Kreditkarten Infos per Mail schicken willst, dann auf jedenfall verschlüsselt.

Gruss Dr Dau

 

[Brauni]

ne sorry hab mich gerirrt
die kredikarteninfos vom Inhaber zum Geschäftsfüherer der das Geld abbucht etc.

wie mache ich eine SSL Verbindung mit PHP?
und wie schicke ich die Daten verschlüsselt vom http server zum Geschäftsfüher per Mail()?

greets
brauni

 

[Dr Dau]

Für Mailversand?

Wird die Mail an einen entfernten Mailserver geschickt?
Dann musst Du entweder Sendmail oder deinem Script beibringen eine Verbindung über den SSL-Port vom Emfangsserver herzustellen.

Beim Script besteht natürlich die Gefahr das ggf. jeder die Emfängeradresse, Benutzernamen und Passwort lesen kann, denn es könnte rein theoretisch ja passieren dass PHP mal nicht läuft und dann wird der Quelltext angezeigt.

Bei Sendmail müsste in der Konfiguration eingetragen werden, dass Benutzer "xyz" die Mail an einen in der Konfiguration angegebenen Empfangsserver schicken soll, der eine gesicherte Verbindung zulässt.

 

[Brauni]

der Mailserver ist am gleichen Server wie die Homepage.
Sache ist die, dass der Kunde seine Waren bestellt, die Kreditkarteninfos eingibt und auf abschicken klickt. Der Inhaber der Homepage bekomme eine Mail mit den bestellten Waren und den Kreditkarteninfos. Wie löst man dies am besten?

Oder ist es auch möglich, dass wenn ich die Mail online via IE schreibe, empfange usw. (wie bei gmx z.b.), dass ich dann kein SSL benötige?
Da würden ja die Kreditkarteninfos immer am Server liegen und dann benötige ich kein SSL oder?
Ausser ein Hacker klaut die Passwörter vom Mailkonto aber diese Gefahr hat man immer.

greets aus wien
brauni

 

[Dr Dau]

Sache ist die, dass der Kunde seine Waren bestellt, die Kreditkarteninfos eingibt und auf abschicken klickt.

Die Karteninfos sollte er nur abschicken, wenn eine gesicherte Verbindung besteht.

Der Inhaber der Homepage bekomme eine Mail mit den bestellten Waren und den Kreditkarteninfos.

Die Mail holt er sich doch mit sicherheit über das Internet?
Oder setzt er sich etwa an den Server?

Oder ist es auch möglich, dass wenn ich die Mail online via IE schreibe, empfange usw. (wie bei gmx z.b.), dass ich dann kein SSL benötige?

Das nennt sich Webmailer, dazu muss der Mailserver IMAP aktiviert haben.
Die Sachen die Du auf deinem Monitor siehst bzw. die Du einträgst, werden via Internet übertragen.
Also auch hier wieder eine gesicherte Verbindung.

Da würden ja die Kreditkarteninfos immer am Server liegen und dann benötige ich kein SSL oder?
Ausser ein Hacker klaut die Passwörter vom Mailkonto aber diese Gefahr hat man immer.

Die Daten müssen ja erstmal zum Server hinkommen bzw. vom Server zum Browser/Mailclienten.
Und schon sind wir wieder bei einer gesicherten Verbindung.
Ein Hacker braucht nicht klauen, er braucht nur mitlesen was so durchs Internet geschickt wird.
Also muss auch zum Mailserver eine gesicherte Verbindung hergestellt werden.

Es gab mal einen schönen Test, ich glaube in der Sendung "Akte" war es.
Da ging es um Online Banking.
Die Spezialisten haben einfach nur im Internet mitgelauscht und gewartet bis jemand seine PIN und TAN über eine ungesicherte Verbindung übertragen hat.
Dise wurden dann abgefangen und dem Bankserver wudern einfach falsche Nummer gesendet.
Der Bankserver hat dann dem User eine Fehlermeldung geschickt dass seine Daten ungültig währen.
Der User denkt "da habe ich mich bestimmt vertippt" und gibt die Daten nochmal ein.
Wieder bekommt er vom Bankserver eine Fehlermeldung.
Diesmal aber weil die Spezialisten mittlerweile schon mit den zuerst gesendeten Daten einen "Testeuro" auf ein anderes Konto überwiesen haben, somit war die TAN nicht mehr gültig.
Der User versucht es mit einer anderen TAN und siehe da, es funktioniert.... denn diesmal wurde diese nicht abgefangen.
Sicherlich kannst Du dir denken dass die Spezialisten auch weitmehr als nur den einen Euro hätten überweisen können.
Auf jedenfall hatte der User dumm geguckt als er damit konfrontiert wurde.... den Euro hat er natürlich wiederbekommen.

Du siehst, bei solch sensiblen Daten wie z.b. Kreditkarten Daten ist immer eine gesicherte Verbindung zu nehmen, egal ob dieses über den Browser oder über Mail geschieht.

Der Kunde wird seine Daten ja sicherlich direkt im Shop eingeben, dass heisst der Webserver muss über eine gesicherte Verbindung betrieben werden.
Der Inhaber kann die Mails über ein Webinterface aufrufen, dann muss dieses auch über eine gesicherte Verbindung geschehen.
Der Inhaber kann die Mails aber auch über seinen Mailclienten abrufen, auch hier wieder über eine gesicherte Verbindung.
So oder so, brauchst Du ein SSL Zertifikat.... Kosten ab ca. 250-300$.... oder waren es Euro, da bin ich mir jetzt nicht ganz sicher.
Für mich als Privatperson ist es zu teuer, so sensibel sind meine Daten dann doch nicht.
Hmm, irgendwo hatte ich mal Links zu Institionen die Zertifikate ausstellen, die finde ich jetzt aber nicht.
Ansonsten einfach mal im "Hosting & Webserver" Forum nachfragen.... da gehört das Thema eigentlich eh schon lange hin.

 

[Brauni]

super danke für die info!