我一直在编程一个小型电子商务平台来销售珠宝。最初,我想让它与web3兼容(接受元口罩支付(,鉴于我是一名开发人员,我想采取DIY的方法,而不是像Shopify这样的平台。
现在我离完成网站越来越近了,我在思考——我应该改用Shopify吗?我的沉思源于我预料到的未知弱点。。
我的网站使用Stripesnd贝宝进行支付。除了订单信息和发货地址,我不保存任何其他数据。
Shopify是否存在我没有想到的潜在漏洞?
在网站上付款似乎很简单,但我有一种感觉,我没有考虑不使用Shopify这样的平台的一些重大影响。
一方面,我真的很想使用我自己的网站,因为我花了这么多时间制作它(也比我见过的任何模板都更喜欢我的前端设计(,所以这篇帖子是为了让人们给我他们对利弊的看法,这样我就可以决定我是想放弃我的工作,重新开始使用Shopify,还是继续以DIY为英雄;(
提前感谢fam
制作自己的网站并使其足够安全是完全可能的,毕竟有人也制作了Shopify。:(也很容易在代码中留下漏洞,然后被利用。问题是,如果你甚至没有很好地掌握你应该看的东西,那么要真正把它做好将是一件很有挑战性的事情。
您应该意识到潜在的代码级漏洞,并使用安全编码和体系结构原则来构建和编码您的网站。OWASP是一个很好的资源,有助于了解这些信息。更高级别的原则包括最少权限、职责分离、深度防御、最大限度地减少攻击面、安全默认、安全失败等。实际的代码级别漏洞包括SQL注入、跨站点脚本(XSS(、跨站点请求伪造(CSRF(、篡改参数、会话管理错误,身份验证或授权错误等等,其中有很多。您包含的第三方库也可以(也将(拥有其中的一些,您将如何发现这一点,您是否有能力跟上最新版本?
当托管自己的服务时(即使在AWS EC2这样的IaaS云环境中(,这也会带来安全方面的挑战——你也需要关心安全的操作方面。如果发生袭击,你会注意到吗?你知道如果一个顾客把钱花在了他们没有买的东西上,该怎么办吗?如果他们真的在撒谎,你会有法医证据证明吗?:(
你可以使用工具来扫描其中的一些漏洞,但这永远不会是全面的——实际上,什么都不会。自动化工具非常有用,但会遗漏很多东西。你也可以购买渗透测试服务,其中一些非常好(有些不是(,他们会像攻击者一样发现漏洞,但这些服务非常昂贵。
然而,说了这么多,最重要的是保持你的防御与风险相称。这基本上意味着你不想在保护网站上花费超过妥协时可能损失的最大金额。将支付外包给Stripe或Paypal是一个很好的开始,因为如果你正确设置了集成,你可能已经在很大程度上限制了最大可能的损失。
那么,你应该自己编写一个电子商务网站的代码,然后销售东西吗?鉴于上述情况,这是非常有主见的,但我认为为什么不呢?只要考虑上述情况,管理风险,了解潜在的漏洞,尽你所能减轻它们,并为出现问题做好准备。最后,只使用现成的服务可能会更便宜,尽管乐趣要小得多。:(
我想说,你应该。。。您可以使用任何SaaS电子商务平台:Shopify、BigCommerce或Snippart,而无需放弃您的DIY自定义功能,因为这些平台可以用作无头电子商务平台。这样,您就不会在管理后端和数据方面有风险(平台会这样做,并且不会失去您自己实现的自定义功能和微调的客户体验(