我对 PCI 合规性有疑问。基本上,他们希望我在该字段https://所在的每个页面上添加。password这有点奇怪。
我的表格index.php看起来像:
<form method=post action="login.php" id="login">
<input type="text" size="16" maxlength="30" name="login" id="login_user" />
<input type="password" size=16 maxlength="20" name="pass" class="ifield" id="login_pass"/>
<input name="msubmit" type="submit" value="Login" />
</form>
我试图发布到 https:<form method=post action="https://test.com/login.php" id="login">但测试它仍然失败。
我应该如何解决这个问题?
首先,您需要配置您的网络服务器以支持 SSL。您需要购买 SSL 证书并配置您的网络服务器以响应端口 80 和端口 443 上的请求。
完成这些更改后,您将能够通过您在上面发布的 URL 告诉您的表单发布到您网站的 SSL 版本。
如果合规性规则需要,您可能还需要在网站的 SSL 版本下加载表单本身。在这种情况下,您可以更新所有指向表单的链接以指向“https://”版本,或者修改您的网络服务器规则以将表单的所有请求转发到“https://”版本。
从客观安全(不是 PCI)的角度来看,按照您的方式填写表格,然后通过 SSL 将其发布到 https 地址并没有错。最初显示空白表单的页面是否是安全页面无关紧要,尽管许多人不这么认为(错误地)。在安全页面上展示您的表单是一种营销方式——当您这样做时,人们会感觉更舒服。通过 https 提交是真正的安全部分。
许多 PCI 合规性要求是假设性的,或者是关于营销和对安全性的看法,而不是实际的安全性。如果您的扫描仪只是因为表单显示在非 SSL 页面上而标记您,那么您可以合理地质疑该发现,因为没有安全影响。如果有问题的表格,即使正确访问,也不允许访问服务器管理或私人信息,那么您也可以合法地对调查结果提出异议。但是,如果登录过程允许访问个人信息或服务器管理,那么有多种原因可以确保它是通过安全端口提交的。