08/11/17 00:11:11 P
SSLについて調べてみましたが、サーバ証明書を買い、インストールする必要が
ある他、全ページをSSLにしてしまうと遅くなるので、個人情報入力部のみSSLにして
セッション情報をHTTP/HTTPS両用Cookieで共有するなど、大規模なソフトウェア改修が
必要になりそうです。
また、サーバを変更する必要があることから、DNSも変更しなくてはならず、ダウンタイム
が発生するようですね。
これだと簡単にはできませんから、JavaScriptを使用することにしました。
例えば、1→Y 2→e 3→L のような置換リストを作っていき、カード番号が 321 だったら、
LeY にブラウザがJavaScriptで変換してからサーバに送信するようにします。
あとは、メールを受信してからそれを複合化すれば、通信が傍受されても、置換規則が漏洩しない限り、
カード番号は漏洩しません。
こうやってちゃんと暗号化していれば、万が一の時にも安心ですし、プライバシーポリシーにも
クレジットカード番号は暗号化して送受信されると明記することができます
セキュリティについて詳しく教えていただきありがとうございました。