2017-01-12

HTTP線上購物不安全? Chrome 瀏覽器主動告訴你

Google Chrome 又更新了,你也發現了嗎? 近期 Chrome 瀏覽器對加密提示做了更新,如果你的瀏覽器也更新到新版本,在網頁左上角網址的前面,會看到 Chrome 瀏覽器主動告訴你目前瀏覽的網頁是否安全,讓你往後在瀏覽各大網頁時,可以更安心無慮。網站安全狀態提醒有哪些 (ㄧ)、安全 網站若有成功安裝 SSL 安全憑證,在網址的前段就會有綠色的鎖頭,表示此網站富有安全性,若是在網頁上輸入資料,都會經過加密的處理,成為一串亂數來保護真實資料,當資料真的被竊取時,也只會得到加密後的亂數而難以被破解。 (二)、資訊 當看到如上圖的資訊圖示,表示該網站未加密,或是只有部份頁面有加密,而點擊圖示可查看網站資訊,瀏覽器就會說明在網站上要注意的事項。像是如果要在未加密的網站上輸入機密資訊,例如密碼、信用卡卡號,瀏覽器會建議您請勿這麼做,因為在未加密的瀏覽環境下,資料沒有加密的保護,被有心人士竊取後就會是真實的資訊。 所以當您在網頁上,要輸入密碼或是信用卡卡號等機密資訊時,請特別注意該頁面的環境是否是安全的。 (三)、不安全 當網站出現紅色的三角形驚嘆符號,表示此網站被列為高危險度的網站,網站可能是詐騙網站或是釣魚網站,該網站可能會竊取資訊,甚至是植入惡意軟體至您的電腦中,因此若是看到此符號出現,被標示為「不安全」時,請慎用此網站或是關掉停止使用。 同場加映: 你的網站沒有加密嗎?(2016.09更新) 還在猶豫嗎?告訴你應該捨棄「老舊網站」的理由 為什麼要捨棄 IE 8 等舊版瀏覽器? 加入 365Shop 升級網站安全性 365Shop 品牌電商平台,注重網站的資訊安全,因此我們建置的購物網站都是採用全站式加密。 全站式加密表示:當使用者一進入網站就是加密的狀態,而非當使用者要註冊會員、下訂單,或是進入信用卡刷卡頁面時,才將網頁轉成加密狀態。全站式加密是為了讓網站多一層的防護罩,以保護消費者的資訊安全,降低資料被擷取後的風險。  加入 365SHOP的店家,不論是哪一種方案,都享有最高的系統安全防護。  想了解更多方案內容?歡迎查看解決方案 線上填單聯繫,於上班日 10:00~18:00 聯繫  >> 填單去 立即撥打電話 02-25787750  >> 撥打電話 FB粉絲團訊息詢問  >> 立即私訊 喜歡我們的文章嗎?搶先到網站下方訂閱電子報。

more
2015-09-25

你的網站沒有加密嗎?(2016.09更新)

2015.09.25  網站為什麼要加密?為的是防資料外洩、防詐騙 經營購物網站常常遇到的問題是,我的消費者接到詐騙電話了。為什麼會有這種情況發生呢? 安全的購物網站,應該在消費者開始輸入資料時,就將資料加密處理,資料傳輸的過程中,就算被有心人士截取,也無法解開裡面的內容。 未加密網站(上圖)      是明碼連線。傳送資料時,若被有心人士截取,會直接顯示傳送的內容。      通常詐騙集團也都是用此種方式來截取購物網站的個資及訂購內容。 加密網站,有綠色鎖頭(上圖)      是加密連線。傳送資料時,若被擷取傳送資料,必須要解密才能知道傳送內容。      例如會員註冊、登入頁、結帳完成頁都應該使用加密,以保護資料安全。 網站加密還有其他好處? 原來網站加密,可以提升網站搜尋優化 Google在官方部落格公告,採用https加密的網站在搜尋結果中的排名將會更高。目的就是要鼓勵網站採用安全度更高的https以保證訪客的安全。 資料來源 http://googlewebmastercentral.blogspot.tw/2014/08/https-as-ranking-signal.html Updated! 最新更新日期:2016.09.13瀏覽器安全提示再升級! Google 在 9/3(四) 宣布,將從 2017 年 1 月起的 Chrome 56 瀏覽器開始,當網站進入到含有密碼或信用卡等機密資訊的頁面時,如果網站為 HTTP 網站,將會在瀏覽器標示「Not secure 」不安全的提示,來提醒使用者該網站並未加密。( Google blog 原文) 目前的瀏覽器版本 Chrome 53,僅以驚嘆號圖示來表示未加密網站,而在 2017.01 之後的 Chrome 56 瀏覽器,在未加密的頁面上將會出現圖示加上 Not secure 的文字,直接說明這是不安全的頁面,來提醒使用者。 然而使用 HTTPS 加密傳輸安全協定的網站,在瀏覽器上就會呈現綠色鎖頭的樣子: (PC 電腦版) (Mobile 手機版) 你的網站還沒加密嗎? 是時候加強您的網站安全性了! 365Shop 電商平台,注重網站的資訊安全,因此我們的客戶都採用 全站式加密,全站式加密表示:當使用者一進入網站就是加密的狀態,而非當使用者要註冊或是下訂單時,才將網頁轉成加密。全站式的加密是為了讓網站多一層的防護罩,以保護消費者的資訊安全,降低資料被擷取的風險。

more
2016-05-27

還在猶豫嗎?告訴你應該捨棄「老舊網站」的理由

什麼是老舊網站呢? 在這邊我們定義的老舊網站,泛指未使用最新開發技術、只支援 flash 影片格式、未做行動化介面以及未加強資安的網站,依據些內容來說明,為什麼我們該淘汰老舊網站,必須將網站全面更新的理由。依循當道的 HTML5 網頁設計標準HTML5 是現在最新的網頁開發技術標準,也是現在網站的開發趨勢,其應用比 HTML4 更廣大。而網站更新到 HTML5 的標準,有什麼優點呢?首先是 SEO 的優勢, HTML5 加入語意化的標籤後,讓網路爬蟲可以更加了解網頁內容,因此搜尋引擎出來的結果也可以較正確的顯示,有助於 SEO 的優化。再來是多媒體的應用,手機與平板的瀏覽器都是支援 HTLM5 的,HTML5 對於行動裝置的影片支援度也較高,因為 iOS 和許多 Android 裝置都不支援 Flash ,因此若是要在行動裝置上播放影片,就必須依循 HTML5 的語意標記,才能夠讓使用者看見影片內容,也因為現在行動使用量增高,使用影音做廣告的需求提升不少,讓許多企業也不得不將網站更新到 HTML5 的標準。然而在先前電商筆記有討論過瀏覽器升級的主題〈為什麼要捨棄 IE 8 等舊版瀏覽器?〉,有部分的內容是在說明安全性的問題,瀏覽器要更新,網站也需要更新。舊有網站的內容,可能包含許多 Flash 的影片,然而 Flash 播放器常常有資安漏洞的消息出現,綁架軟體可能會經由 Flash 的漏洞安裝在使用者的電腦上,以綁架使用者的電腦或資料,因此許多瀏覽器或是網站都紛紛有降低支援 Flash 的決策。各大瀏覽器與網站皆降低 Flash 支援 如果您的網站含有 Flash 動畫影片,那可能要注意是否應該更新網站了! Google 已宣布計畫將在 2016 年第四季開始,除了 Google 公布的前 10 大網域之外,Chrome 瀏覽器將不再預設啟用 Flash 影片,如果您網站上的影片同時支援 Flash 與 HTML5,Google Chrome 會直接地採用 HTML5 格式來播放,然而過了緩衝期後,前 10 大網域也不例外的,也同樣會封鎖其 Flash 影片預設播放了(link)。 封鎖 Flash 影片的原因無他,主要的兩大原因就是「提高網站安全性」與「維持網站高效能」,其實不只有 Chorme 瀏覽器這麼做,包含 Firefox、Microsoft 的 Edge 瀏覽器,也都逐步的關閉了 Flash 的自動播放,包括 Facebook 上的影片預設也都全面切換到 HTML5 格式了,各大瀏覽器和網站逐漸的走向 HTML5 標準,也是為了讓使用者瀏覽時耗能更低、有更穩定的瀏覽體驗,在此同時也降低 Flash 可能帶來的安全漏洞問題,保護使用者的資訊安全。說三次代表很重要的「行動化」 再不跟上「行動化」,網站只會流失掉更多的潛在客戶,這邊電商筆記就直接幫大家統整行動化相關的文章: 什麼是 RWD 響應式網頁設計? 經營電商關心的事-行動網頁成交比例 具有行動網頁的購物網站,才是電商留住消費的關鍵 跨螢幕的行動商機 行動影響力再提升! Google 鼓勵行動友善化 更上一層樓!行動優化文章: 行動商務之要點-行動購物流程設計 行動網站設計原則 - Part1 首頁與網站瀏覽不是只有 SSL,加密程度也要提高到 TLS 早期的老舊網站可能沒有特別維護資安問題,當網站有敏感資料時,會很容易被竊取,然而如果有替網站設定加密,日後卻沒有持許維護相關設定的話,很有可能你的網站加密已經過期了!更重要的是,即便有了 SSL 加密,可能還不夠,因為隨著技術的更新,加密支援程度也有所提升,從 SSL 2、SSL 3,到 TLS 1.0、TLS 1.1 和目前支援程度最高的 TLS 1.2, 您的網站同樣也應該設定到支援程度較高的加密等級,讓網站使用起來更安全。若是要知道自己網站的加密支援程度,可以參照以下資訊: 網站加密檢測工具:SSL Server Test 網址:https://www.ssllabs.com/ssltest/index.html 輸入網址之後,檢測過程需要等待一下子,當檢測完畢後就會有很多數據列出,其中在下方有個 Protocols 區塊,就可以看到網站加密支援的程度,如下圖所示: 圖:該網站加密支援程度只有到 TLS 1.0 以上這些內容,就是提醒您應該要把網站「舊翻新」了!同時也提供您評估網站的項目。然而現在許多資訊服務也都雲端化了,是一個趨勢的展現,也是新技術運用的成果,就讓雲端軟體服務成為您的新選擇吧! 延伸閱讀:你的網站還沒使用新型態的雲端軟體服務嗎?

more
2016-05-20

你的網站還沒使用新型態的雲端軟體服務嗎?

雲端運算(Cloud Computing)的興起,形成了三種雲端服務模式(wiki),以下擷取軟體即服務的相關說明:軟體即服務(SaaS):消費者使用應用程式,但並不掌控作業系統、硬體或運作的網路基礎架構。是一種服務觀念的基礎,軟體服務供應商,以租賃的概念提供客戶服務,而非購買,比較常見的模式是提供一組帳號密碼。例如:Microsoft CRM 與 Salesforce.com。在「軟體即服務(SaaS)」的服務模式當中,使用者能夠存取服務軟體及資料。服務提供者則維護基礎設施及平臺以維持服務正常運作。SaaS 常被稱爲「隨選軟體」,並且通常是基於使用時數來收費,有時也會有採用訂閱制的服務。隨著多樣 SaaS 服務的推出,現在不管個人或是企業,多數都會使用雲端軟體服務。在早期,使用者必須向軟體商購買長時間的軟體授權,才能夠在授權期間內使用,當軟體版本更新或需要維護時,若需要另外付費而造成成本過高。然而雲端帶動的 SaaS 服務,使用者可以按月付費便可使用服務,不需將軟體安裝在電腦裡,也不用將軟體更新或維護,只要一組帳號、密碼線上登入使用就好,軟體會自動更新到最新版本,也降低了許多維護成本。常見的 Gmail、YouTube、Google 雲端硬碟、Dropbox、雲端筆記本 Evernote 即是 SaaS 雲端服務的一種。而現在的網頁設計也走向雲端服務,不管你身在何處,只要一組帳號、密碼,透過網路登入網站的後台管理系統,便可自行管理與更新自己的網站,這種類似租賃服務的方式幾乎能夠滿足小公司到大企業的需求,無需自行架站、建立伺服器與開發相關功能,只需要一組帳號的認證,便可隨時隨地的使用所有服務,也降低了許多維護成本,365Shop 品牌電商平台 即是 SaaS 服務喔!快將你的網站也更新到雲端機制吧!

more
2016-05-13

線上付款小常識,什麼是信用卡3D驗證?

網路購物提供了相當的便利性,讓消費者隨時隨地可以上網,進入拍賣網站、平台商城、品牌購物網站上瀏覽商品資訊。在線上購物的時候,常常會遇到的線上付款方式是信用卡,然而初次在使用信用卡付款時,有些流程與驗證的程序可能都不太熟悉,以下 365Shop 電商筆記就來整理信用卡線上刷卡的相關流程,也帶你了解什麼是信用卡 3D 驗證。 信用卡刷卡流程 在網站下訂單  >  付款方式:選擇信用卡線上刷卡 > 輸入信用卡資料 > 進行 3D 驗證(依發卡機構規定) > 完成刷卡。首先在付款時,需要輸入的信用卡資料:信用卡卡號、有效期限與安全碼。 什麼是 3D 驗證? 所謂的 3D 驗證是由 VISA、MasterCard 及 JCB 等國際組織,建構的網路購物安全機制,藉由 3D 驗證確認購物時持卡人的身份,以確保只有您才能使用您的信用卡,來提高網路交易的安全性。 線上購物在使用信用卡付款時,現在有部分銀行已開始要求持卡人進行「3D 驗證」作業,當您在線上刷卡時,除了原先輸入信用卡卡號、有效期限、安全碼之外,現在還需要再輸入一組您自行設定的密碼,或是即時以簡訊將密碼傳送至您的手機來驗證身份,就是所謂的「3D 驗證」,透過多一道密碼驗證的步驟,以確認持卡人身份,來降低卡片被盜刷的風險。 3D 驗證的密碼可以分成兩種形式: (一)固定密碼(自行設定的交易密碼):可到您的發卡機構設定一組固定的 3D 驗證密碼,往後再進行線上交易時,除了輸入信用卡資料之外,還需要您的專屬 3D 驗證密碼,才可以進行刷卡。 (二)動態密碼(簡訊傳送交易密碼):選擇「簡訊傳送交易密碼」的驗證方式,會將驗證碼以簡訊的方式傳送至您的手機,等收到簡訊之後,再到網頁上輸入該驗證碼即可進行認證。 下圖為 VISA 3D 驗證的畫面參考: 兩種驗證密碼的方式,目前以簡訊提供動態密碼的服務較多,至於有哪些銀行有提供 3D 驗證服務,使用 Visa 信用卡可以參照以下網址查看啟動「Visa 驗證」服務,或是直接與您的發卡機構做詢問。 

more
2016-04-08

為什麼要捨棄 IE 8 等舊版瀏覽器?

舊版 IE8、9、10 無法播放 YouTube 影片無所不在我們網路生活的 YouTube ,在 2015 年 1 月份宣佈將 HTML5 作為預設的影片播放器(link)。如果習慣使用 IE 瀏覽 YouTube 影片的使用者,瀏覽器尚未升級到 IE11,可能都會看到停止支援的畫面出現(如下圖),因此使用舊款的 IE8、9、10 等瀏覽器的使用者,如果想要持續在 IE 上順利觀看 YouTube 影片的話,建議趕快將瀏覽器升級,或是選擇使用其他的瀏覽器, 如 Google Chrome 等對於 HTML5 支援較完善的瀏覽器來使用,才能保有最佳的 YouTube 影片觀看效果。舊版 IE 加密支援程度低,網站安全度降低 網站的安全性很重要,對於購物網站來說更是要注重的,因此身為使用者的我們都需要學習辨識網站是否有加密憑證,先前電商筆記已提供初步辨識的方式 〈你的網站沒有加密嗎?〉,但是有時候單純辨識網址並不能完全知道該網站的安全程度,因此透過 Qualys 所提供的 檢測工具,可以知道網站總體安全性的評分,以及細項的詳細內容。 檢測結果下方會列出其 TLS 的支援程度: 對於網站加密來說,也會因為不同瀏覽器影響到 TLS 加密的支援程度,如果該瀏覽器沒有支援到位的話,還是會以較低的加密方式來處理 SSL(link)。 然而 IE8 只支援到 TLS 1.0 的版本,而 Windows 7 的 IE 則是要到 IE11 才支援 TLS 1.2(link)。由此可知,舊版瀏覽器的加密支援程度較低,若是想要在更安全的網路環境下,建議瀏覽器也要同步升級到加密支援程度較高的版本。Microsoft 已停止更新舊版 IE 瀏覽器Microsoft 微軟已在今年 2016 年一月份正式終止支援 IE8、9、10 等舊版瀏覽器,自此之後這些舊版瀏覽器將不再獲得安全更新和技術支援,唯一受到官方支援的瀏覽器是 IE11 和 Edge 瀏覽器。停止提供安全更新和技術資源,表示如果使用者或企業用戶如果沒有將瀏覽器升級到最新版本,就有可能因為漏洞而遭遇到駭客攻擊,提高潛在的危險性。多年來,由於 Internet Explorer 存在著許多安全漏洞,因此已成為網路犯罪集團最愛的攻擊目標之一。事實上,光 2014 年,該瀏覽器就被發現了 243 個記憶體損毀漏洞,儘管這些漏洞目前都已修補。(link)舊版 IE 對 HTML5、CSS3 支援程度較低 HTML5 為現在網頁開發的趨勢,各大瀏覽器的新版本也都紛紛支援 HTML5,若是想知道你所使用的瀏覽器對 HTML5  的支援程度,可以使用此網站「 HTML5 test http://html5test.com/ 」來測試,只要點選進入連結,該網站會自動將您當下所使用的瀏覽器做檢測,網頁就會顯示檢測後所得的分數以及列出審核項目,滿分為 555 分,如下圖: 瀏覽器: Chrome 49 瀏覽器:Edge  瀏覽器:IE 11  此外,舊版 IE 對於 CSS3 的支援程度同樣也偏低,下圖為 W3School 所提供的各家瀏覽器支援表格。 左邊為 CSS3 各屬性的名稱,而後方瀏覽器版本則表示是從哪個版本後開始支援該屬性,從下圖截錄的表格當中,可以知道許多 CSS3 的屬性多為 IE9 後的版本才開始支援,甚至許多都是到 IE10 以及 IE11 才有。因此,若是想要在 IE 看到完整的網頁畫面呈現,建議將瀏覽器更新到最新的版本,才能擁有最佳的瀏覽體驗。完整表格請參考:W3Schools總結來說,如果您想要在瀏覽網頁時:1. 觀賞優質的 YouTube 影片2. 提高網站加密程度,保障資訊安全3. 看到完善且有品質的網頁畫面就是您該捨棄舊版 IE 的時候了,快讓瀏覽器全面升級吧!

more