Отчеты и исследования обнаруживают гигантский рост числа покупок, совершаемых по Интернет, и предсказывают им еще более весомый рост в ближайшее время. Не буду приводить здесь цифр, поскольку они разнятся в разных отчетах, а для нас с вами что 6 миллиардов долларов, что 8 - все равно о-очень большая сумма :) Самое странное, что основная сумма сделок по Сети приходится на США. Европа и Израиль движутся к виртуальным магазинам весьма медленным темпом.

• Ну хорошо, наши кредитные компании почему-то сопротивляются онлайновым продажам. Звучит несколько нелогично: я несколько раз покупал вещи по Интернет по своим кредиткам - и Mastercard ни разу не высказала неодобрения, исправно оплачивая покупки на американских сайтах, а American Express даже отводила такие покупки в отдельные графы online в отчетах. Почему же я могу покупать в онлайне за границей и не могу у нас? Любопытно. Но допустим, что завтра ситуация изменится (а она изменится непременно). Кредитные компании и госбанк утрясут стандарты и протоколы и дадут добро. При этом наши собственные виртуальные магазины сразу же расцветут пышным цветом. Будем ли мы сами в таком случае готовы совершать такие покупки? Очень не уверен. Поразительно, но большинство знакомых мне людей даже не имеют понятия о необходимых правилах безопасности при электронной сделке.
• Моделей поведения в основном только две: или полный отказ от такого способа покупок вообще из-за боязни передать номер кредитной карточки, или полная безалаберность, исходящая из непонимания потенциальных опасностей. Причем я не вижу кто и как может изменить ситуацию с безграмотностью населения в этом вопросе, так как дело это не совсем тривиальное, усугубляющееся массой всевозможных слухов и историй. Я не призываю покупателя хлеба в электронном супермаркете знать, чем протокол SET лучше и надежнее протокола SSL. Но кое-что он знать должен. Потому как электронная покупка отличается от обычной всего двумя, но немаловажными деталями:

1.Заказ, включающий данные о кредитной карточке, передается по сверхоткрытой для всех и каждого сети Интернет; 2.Магазины в Интернет имеют лишь один атрибут - это адрес сайта, куда вы заходите. Вы не видите вывесок снаружи, торговый зал, продавцов и товаров внутри. Все вывески и лого находятся уже на самом сайте в форме картинок, и именно по ним вы узнаете, что попали в магазин.

В этих двух отличиях и могут подстерегать опасности. Первое отличие приводит к тому, что номер кредитной карточки может быть перехвачен злоумышленниками во время путешествия по Интернет от вашего компьютера к магазину, тем более что сделать это не очень сложно. К счастью, умные "дяди" решили эту проблему достаточно радикально: все "переговоры" между покупателем и продавцом просто-напросто шифруются. Теперь перехватить, дешифровать и выудить номер кредитки становится почти невозможно (я написал "почти" только из-за любви к истине. Лучше читать это "практически невозможно", так как необходимое оборудование и квалификация для теоретического взлома зашифрованного сеанса делают кражу обыкновенной кредитки совсем невыгодным делом, гораздо проще залезть в урну перед магазином и набрать квитанций).

• Ваш браузер поддерживает так называемое "безопасное соединение", при котором все, что идет между сервером и браузером, засекречивается. При этом в строке статуса браузера вы видите иконку закрытого замка, показывающую, что текущее соединение проходит через SSL (Secured Sockets Layer) - специальный программный канал, шифрующий проходящую информацию. Браузеры так же предупреждают о входе в такое соединение и выходе из него (если вы не отменили эти предупреждения).
• Со вторым отличием дело становится немного серьезней и запутанней. А как, собственно, узнать что мы зашли именно в тот магазин и делаем заказ именно тому бизнесу, которому хотим? Картинки и лого, сами понимаете, не доказательство. Их может скопировать и установить у себя на сайте любой желающий, не особенно озабоченный соблюдением авторских прав, а уж тем более злоумышленник. Адрес сайта? Но злоумышленники вполне могут сделать так, что набирая, скажем, www.magazin.com вы попадете к ним, а не на реальный сайт magazin.com: система доменных имен Интернет не очень надежна в этом плане. Пользуясь тем, что вы не видите к кому обращаетесь, они принимают заказ якобы от имени магазина и используют полученные номера карточек в своих черных целях... У этой проблемы тоже есть решение, хотя и не такое простое. Здесь появляется третье лицо, не имеющее отношения ни к вам, ни к бизнесу, и играющее роль ручателя за личность бизнеса.
• Такое лицо называется Certificate Authority (пока переведем это как "некая авторитетная организация") или, сокращенно, CA. Эта организация должна быть действительно авторитетна для вас и иметь полное ваше доверие, иначе такая цепочка теряет смысл: если вы не верите "ручателю", то подтвержденным им бизнесам вы тоже верить не будете. Итак, как работает CA? Эта организация выдает желающим бизнесам специальные дигитальные сертификаты, подтверждающие, что бизнес такой-то с адресом www.magazin.com действительно является этим бизнесом. В ваши браузеры уже встроены протоколы и процедуры проверки, позволяющие вам практически однозначно проверить сертификат и узнать, тот ли это бизнес на самом деле. Если перевести на доступный язык смысл сертификатов и их проверок, то получится примерно следующее: "CA такая-то подтверждает, что данный сайт имеет действительный на настоящий момент цифровой сертификат на имя бизнеса такого-то, подписанный нашей электронной подписью. Следовательно, вы попали по назначению к бизнесу такому-то". Следует отметить, что CA только лишь удостоверяет личность бизнеса, она не инспектирует его и никоим образом не участвует в сделках. Другими словами, сертификат - не гарантия честности или надежности бизнеса (юридические и деловые проблемы - тема для отдельной статьи).
• Для желающих расскажу немного подробнее о цифровых сертификатах X.509. Сертификат - это обыкновенный файл небольшого размера, содержащий установленную информацию, которая может включать множество вещей, но главные и интересующие нас - это имя бизнеса (кому выдан сертификат), имя сайта и дата истечения срока действия данного сертификата. Этот файл затем шифруется каким-либо очень надежным алгоритмом (DES-3, RSA, IDEA и т.п.) вместе с цифровой "подписью" CA. Как вы знаете, для цифровых подписей используются алгоритмы с "открытым ключем", в которых информация шифруется одним (доступным всем) ключем, а дешифруется другим, "секретным" (или личным) ключем. Возможно и наоборот: шифрование информации личным ключем, а дешифрование - открытым. Так и происходит: CA "подписывает" выдаваемый сертификат своим личным (о-очень секретным) ключем. Все распространенные браузеры содержат базу данных открытых (public) ключей известных CA, следовательно браузер в состоянии дешифровать полученный сертификат и проверить его оригинальность и целостность. Браузеры делают это автоматически при входе в "безопасное соединение", о котором я говорил выше. Более того, браузер не разрешит использование безопасного соединения, если сертификат окажется недействительным, не соответствующим сайту, взломанным, или от неизвестной CA.

1.Никогда и ни при каких обстоятельствах не передавайте ценные данные (а номера кредитных карточек, несомненно, относятся к таковым) при отсутствии безопасного соединения, какие бы доводы о своей солидности и безопасности не приводили на сайте. Это аксиома: если нет иконки закрытого замка, то ходите по сайту, рассматривайте все, но не совершайте покупки.

2.Никогда не покупайте в подозрительных местах, тем более если цена очень уж заманчива. Надежные он-лайн бизнесы, как правило, широко разрекламированы и известны. Всегда проверяйте сертификат перед посылкой заказа! И в MSIE, и в Нетскейпе для этого достаточно кликнуть на замочек-индикатор безопасного соединения. Сертификат содержит поля, о которых я уже рассказал. Имя бизнеса, которому выдан сертификат, обязательно должно совпадать с именем, которое вы ожидаете увидеть. Например, если вы собрались купить что-либо в виртуальном магазине фирмы Just A Sample, значит и сертификат должен быть выписан на имя Just A Sample, Inc. Браузеры содержат открытые ключи (в форме подписанных ими же самими сертификатов) известных во всем мире и уважаемых CA, таких как Verisign, RSA, Thawte и т.д. Для просмотра всего списка установленных в вашем браузере CA, в MSIE: выберите View/Internet Options, затем таб Content и в нем кнопку Authorities. В Нетскейпе 4.x: кликните на замок в строке статуса навигатора и выберите Signers в разделе Certificates. Этим пре-установленным CA можно доверять. Однако браузеры имеют возможность добавлять новые CA в список существующих. Это делается, конечно, с разрешения пользователя, но очень часто пользователи "не глядя" отвечают "Да" на непонятные вопросы, в частности на "Разрешаете установить новый Certificate Authority?".

3.Никогда не разрешайте установки (добавления) CA, о которых вы не знаете или которым не доверяете! Браузеры безоговорочно верят всем сертификатам, которые подписанны установленными в них CA, поэтому незнакомая CA будет в состоянии подтверждать вам любой бизнес на тех же самых правах. То есть, вы получите и безопасное соединение, и правильный и действительный сертификат, только сама CA, а так же все ею подписанное, вполне может оказаться не тем, за кого себя выдает. Дыра в безопасности от установленной незнакомой CA может оказаться еще более неприятной, так как в последнее время цифровые сертификаты стали использоваться и для "подписи" программного обеспечения для подтверждения его подлинности (но об этом подробнее в другой раз: тема цифровых сертификатов сама по себе очень обширна и интересна). Солидные он-лайн магазины очень часто предлагают различные методы увеличения безопасности заказа наряду с безопасным соединением. Например, вы заполняете только часть номера кредитной карточки, а другую часть посылаете электронной почтой или факсом. Рекомендую широко использовать подобные "добавки".