E-Ticaret Hakkında Genel Bilgiler ve Merak Ettikleriniz

quote:

Orijinalden alıntı: salerenko

slm.
İstanbul'da bir firmada bilgi işlem sorumlusu olarak çalışmaktayım. Firmamızda kendi bünyemizde e-ticaret olayına geçmek istiyoruz.
Bildiklerini bizimle bu forum aracılığı ile paylaşırsan sevinirim..
Özellikle güvenlik açısından bilgi verirsen sevinirim. Saygılarımla..

quote:

Orijinalden alıntı: pr0tech

Selamlar;

Giriş Notu:

Öncelikle burada yazılanlar hemen her insanın araştırma ile bulabileceği; edinebileceği bilgilerdir. Ben bu işi bireysel olarak yapmaktayım; ve esas amacım da internetten para kazanmak isteyen arkadaşların zamanlarını e-maillerdeki linklere tıklayarak zaman geçirme şeklinde değil de; ileride belki de işleri olabilecek bir şekilde yönlendirmekti. Ancak tabii ki kurumsal anlamda da e-ticaret için yapılması gerekenler pratikte farklılık gösterse de teoride aynıdır.

Ve tekrar unutulmamalıdır ki; burada yazacaklarım - kurumsal anlamda - gerçek hayatta bizzat denemediğim teorik bilgilerden oluşmaktadır. Bireysel anlamdaki cevaplarım içinse denediğimin garantisini verebiliyorum. Yine; kurumsal anlamda burada yazılanları kendi şirketinize uygulamanız ve anlatılanlardan / uygulamadan kaynaklanan bir eksiklik / hata nedeniyle kurumsal bazda kaynaklanabilecek hiçbir veri/para/itibar kaybından sorumluluk kabul etmiyorum.

Hatırlatma:

Piyasada kurumsal anlamda elektronik ticaret altyapısı tasarlayan; kuran ve yönetim esnasında %100 teknik destek veren profesyonel şirketler bulunmaktadır. Kurumsal anlamda tasiyem yazılanların teyidini bu tip garanti sağlayabilen bir firmadan da almanızdır.

Alıntıları Göster

quote:

Orijinalden alıntı: pr0tech

E-Ticaret:


1. Sunucu Konuşlandırma

Öncelikle web siteniz ya da elektronik ticaret altyapınız var olan yerel ağınızdaki bir serverda mı yoksa tamamen outsourced olarak başka bir host ta mı yer alıyor ya da alacak. Bunun planlaması iyi yapılmalıdır.
E- Ticaret uygulamanızın; web sitenizin ve banka bağlantınızın bulunduğu SSL in kullanıldığı bir Servera; localdeki çalışanların hiçbir şekilde erişiminin olmaması herkes için en sağlıklı olanıdır.

Aynı zamanda söz konusu e-ticaret sitesi, işletmenizin ürettiği / pazarladığı ürünleri veya hizmetleri gerek ulusal gerekse uluslar arası pazarda sergilendiği için; hiç bir şekilde hizmetin kesintiye uğramaması gerekmektedir. Tüm bunlar göz önünde bulundurulduğunda en azından e-ticaret uygulamasının (eğer web sitesi şirket içi bir serverda tutuluyorsa bile) outsourced bir hosting firmasında barındırılması yararlı olacaktır.

[Her ne kadar arada yazılım; uygulama seçimi gibi aşamalar olsa da; özellikle güvenlik üzerine sorduğunuz için bu gebel bölümleri atlıyorum. Ki bu bölümlerde web sitesinde kullanılacak dil ve kaynak kodların encryption uygulamaları yer alacaktır.]


2. SSL

SSL; yani Secure Sockets Layer; bir e-ticaret sitesinde en önemli unsurdur. Bireysel kullanıcılar için daha esnek opsiyonları olan ödeme çıkışları (payment processors); kurumsal anlamda daha sınırlıdır. Yani bireysel bir uygulamada, PayPal, 2co.com gibi third party payment processorler rahatlıkla iş görürken; ve bu service providerların ellerinde zaten SSL varken; kurumsal anlamda Sanal Pos hizmeti veren yerli bankalar kullanımda daha yaygındır. Evet; bireysel kullanıcılar SSL satın almak zorunda değildir; ancak kurumsal anlamda SSL satın alınmalıdır. Aksi takdirde mevcut olan web arayüzünün banka ile bağlantısı mümkün olmayacaktır.

Web Ticaret uygulamaları için SSL satan birçok alternatif bulunmaktadır. Bu şirketlerden TR de en yaygın kullanılanı olan InstantSSL adlı firmanın web sitesindeki SSL ile ilgili sık sorulan sorular kısmında:

" En yaygın kullanım şekli, web ortamında, Sunucu ile tarayıcı(Internet Explorer gibi..) arasındaki iletişimin şifrenlenmesi şeklindedir.
SSL, standart bir algoritmadır.Milyonlarca web sitesinde güvenli veri iletişimi için kullanılmaktadır.
SSL fonksiyonun çalışabilmesi için sunucu tarafında bir anahtar ve istemci tarafında çalışacak bir sertifikaya ihtiyaç duyulmaktadır.

Özellikleri
- Mesajların şifrelenmesi ve deşifre edilmesindeki güvenlik ve gizliliği sağlar
- Mesajı gönderenin ve mesajı alanın doğru yerler olduğunu garanti eder
- İletilen dokümanların tarih ve zamanını doğrular
- Doküman arşivi oluşturulmasını kolaylaştırır

Sertifikasyon Kurumu
Dijital sertifikaların verilmesi ve yönetilmesini gerçekleştiren kurumdur. Dijital sertifikalar bu kurumların gizli anahtarıyla imzalanır.

SSL Nasıl Çalışır ?

SSL Public Key/Private Key adı verilen anahtarların kullanımına dayalı bir şifreleme yöntemi...
SSL çalışma mantığını şöyle açıklayalım:
SSL şifrelemesinde 2 adet anahtar kullanılır. Bu anahtarlar, dijital olarak kodlanmış yazılımdan başka bir şey değil!... Ve bir anahtarın kilitlediği veriyi, sadece diğeri açabiliyor.
Anahtarlarınızı yarattıktan sonra (ki bu işlem tamamen otomatiktir, yapmanız gereken özel bir şey yoktur.), anahtarlardan biri (private key) sizde kalır. Diğer anahtar (public key) ise, bağlantı kurmak istediğiniz kişilere gönderilir.
Size dışarıdan mesaj göndermek isteyen kişi, public key ile göndermek istediği mesajı güvence altına alır ve size gönderir. Artık o bilgi, size ulaşırken yolda alıkonsa bile, şifrenin çözülebilmesi için sizde kalan private key gerekecektir. Kullanılan SSL yönteminin karmaşıklığına göre (40 bit, 128 bit) şifre birinin eline geçse bile, bu bilginin çözülmesi çok ileri tekniklerle dahi çok uzun zaman alacaktır.
Sonuç olarak SSL iki bilgisayar arasındaki bilginin diğer kişiler tarafından görüntülenmeden, doğrudan iletişimde olan iki bilgisayar arasında ve güvenli bir şekilde iletilmesini sağlar.

Elektronik sertifika sağlayıcı firmaların verdiği hizmet tam olarak nedir ?

Sertifika sağlayıcı firmaların ilk görevi,SSL fonksiyonunun çalışabilmesi için gerekli servisi sağlamaktır.Bu servisi kabaca şu şekilde açıklayabiliriz.

- Kullanıcı güvenli web sitesine giriş yaptığında sunucu ile tarayıcı arasında SSL oturumu başlatılır. Sunucu tarafından, tarayıcıya fonksiyonun çalışabilmesi, yani oturum açıldıktan sonra artık göndericeği şifrelenmiş verilerin açılabilmesi için ihtiyaç duyacağı anahtarları nereden ve ne şekilde alacağını bildirir.

- Sertifika sağlayıcı firma, talebin geldiği adresi doğrular var tarayıcıya gerekli anahtarları gönderir.
- Bu aşamadan sonra tarayıcı sunucudan gelen verileri elindeki anahtarlarla çözer yada sunucuya göndereceği verileri sunucunun çözebileceği şekilde şifreleyip gönderir.
- Eğer SSL anahtarlarınının talep edildiği adres ve diğer kriterler doğru değil ise yada sertifikanın süresi dolmuş ise tarayıcı ihtiyacı olan anahtarları alamaz, dolayısıyla güvenli oturum doğru şekilde başlamaz ve sertifika geçersiz uyarısıyla karşılaşılır.

Sertifika sağlayıcı firmaların bir diğer görevide tescil dir.!

Burada Tescil sertifikanın alındığı internet adresinin hangi gerçek yada tüzel kişiye ait olduğununun bir otorite tarafından onaylanması ve duyurulmasıdır.
Elektronik Ticaret yapan web siteleri içeriklerinde yanıltıcı iletişim bilgileri verebilirler.Fakat ilgili sitenin güzenli alanındaki sertifika detaylarında, sertifika sahibi firmaya ait tescil edilmiş bilgilere ulaşılabilir.

Türkiyede Faaliyet gösteren SSL firmaları ne kadar güvenli ?

Şuan Türkiye'de faaliyet gösteren SSL firmaları yurtdışı firmaların temsilciliği şeklinde.Dolayısıyla son kimlik doğrulama işlemi her şekilde yurtdışından yada yurtdışı firmanın belirlediği formatlarda yapılmakta.

Fakat çok yakında dijital imza uygulasının aktif olarak kullanılmaya başlanmasıyla birkaç yerli firmanın bu konuda yetkilendirileceğini biliyoruz.

Herhangi bir sitede gördüğümüz SSL sağlayıcı firma logoları ne anlama geliyor. Bu logoların doğruluğu nasıl kesinleştirilebilir?

Tabiki bu logoların gerçekte sertifika olmadan kullanımı engellenemez.O yüzden safya içinde yer verilmiş bu tip logolar güvenli alan için referans alınmamalıdır.

Kullanıcı, sertifika detayları hakkında doğru bilgiye ssl oturumu başladığında tarayıcının alt tarafında beliren kilit işaretine tıklayarak ulaşabilir.


SSL e sahip bir siteden kredi kartı bilgilerinin çalınabilme ihtimali nedir ?

SSL fonksiyonu müşterinin tarayıcısından, sunucuya kredi kartı bilgilerinin şifrelenmiş şekilde ulaşmasını sağlar. Kötü niyetli kimseler bu aşamada özel yazılım yada cihazlarla ağ trafiğini izleyebilirler, ağda gidip gelen paketlerin içeriğini görüntüleyebilirler.

Fakat peket içerikleri şifreli olduğu için istedikleri bilgiye ulaşamıyacaklardır. Şifreli metinleri çözmek içinse, çok çok güçlü bilgisayarlarla bile yıllarca sürecek, ancak deneme yanılma yöntemiyle bulabilecekleri bir anahtara ihtiyaçları olacaktır.Bu şartlarda, ssl ile kredi kartının satıcı firmanın sunucusuna ulaşırılması son derece güvenlidir.

Fakat ssl tabiki sunucu üzerinde kayıtlı tutulan kredi kartı bilgilerini korumaz. Kaydı Tutulan Kredi kartı bilgilerinin güvenliği tümüyle web sitesinin yönetimine aittir.

Bu durumda doğru olan kredi kartı bilgilerinin veri tabanında tutulmaması yada tutulacaksa şifrenelenmiş şekilde saklanmasıdır. "

Şeklindeki açıklamayla ayrıntılı bilgilendirme sağlanmıştır. (1)

Kurumsal Anlamda E-Ticaret Servisinin Güvenliği; Fiziksel olarak sunucuya erişim güvenliği; kullanılan yazılım güvenliği ve sunucu - istemci ; sunucu-banka arası akan veri güvenliği olarak üçe ayrılabilir.

SSL; Sunucu-istemci ve sunucu-banka arasındaki veri güvenliğini sağlamakla yükümlüdür. Sunucuya fiziksel erişimden kasıt; aynı sunucu üzerinde çalışan, kullanılan farklı uygulamaların ve kulanıcı hesapların; sunucu üzerinde tutulan kritik müşteri, bilgilerine erişiminin "implicitly ve explicitly denied" olup olmadığının kontrolüdür.

Bu bağlamda en güvenli e-ticaret uygulaması; Sistem Yöneticisinden başka kimsenin login izni olmayan en azından shared bile olsa başka bir host üzerinde kullanılması olacaktır.

Web Yazılımının güvenliği ise; bana göre en önemli güvenlik bölümünü oluşturur. Çünkü; web yazılımında hem müşterilerin isim; adres; telefon; kredi kartı gibi bilgilerinin yer aldığı database e erişim bilgileri ve SSL için kullanılan "private key" bilgileri de yer almaktadır. Biraz paranoyak olmak gerekirse - ki e-ticaret paranoyaklığın doruk noktasıdır da diyebilirim - yine benim düşüceme göre; bir kişi ya da kuruluşa özel olarak yazdırılan bir web arayüzü; yazan siz ya da başka biri olabilir, bir başkasına tekrar kontrol ettirilmelidir. Böylece bir kişinin gözünden kaçmış olabilecek bir kodlama hatası veya bilerek bırakılmış bir açık; diğer kişi tarafından bulunabilir. Biraz ironik olsa da; benim tercihim open source e-ticaret uygulamalarıdır. İki tane web programcısı nasıl birinden daha iyiyse; dünya çapına yayılmış yüzlerce web programcısı da iki taneden iyi olacaktır.

Son olarak bir diğer şifreleme de; ister ASP ya da PHP olsun; sterse JSP olsun, sistemin kaynak kodlarının da sunucu içerisinde şifrelenmesi ve çözülmesi yöntemidir. Bunun kullanımına en çok HTML ve JScript sayfalarda rastlıyoruz. Benzer şekilde kaynak kodların kendi içlerinde; sunucuda işlenmeden önce şifrelenmiş olması ve sunucuda işlenmeye başlarken; yine sunucu tarafından deşifre edilmesi ve daha sonrasında yeniden şifrelenmesi şeklinde görev yapar.

Dediğim gibi e-ticaret paranoyaklığın dönüm noktasıdır ve eğer bir şekilde ftp üzerinden izinsiz bir giriş; veya web sunucunuzda (Apache veya IIS) oluşabilecek bir hatada kaynak kodların sitenize giren tüm ziyaretçiler tarafından görüntülenmesini engellemek için idealdir.

Burada yazdıklarım şu anda aklıma gelenlerdir. Kurumsal anlamda size yardımcı olabilecek diğer şeyleri hatırladıkça eklerim. Umarım bunların yardımı olur. Yardımcı olabileceğim başka sorularda görüşmek üzere.


Atıl Gürcan


1: InstantSSL web sitesi: Http://www.instantssl.gen.tr/SSS.asp

Alıntıları Göster

quote:

Orijinalden alıntı: pr0tech

UP Görmeyen vardır belki.

Alıntıları Göster

quote:

Orijinalden alıntı: akifs

Verdiğin Bilgiler için teşekkurler protech..

Alıntıları Göster

quote:

Orijinalden alıntı: cgunday

son derece faideli bilgiler. Teşekkürler.

Alıntıları Göster

quote:

Orijinalden alıntı: General Stalin

@pr0tech,verdiğin bilgiler için teşekkürler eline sağlık

Alıntıları Göster

quote:

Orijinalden alıntı: pr0tech

bunların dışında da; bireysel anlamda yurtiçi veya yurtdışı; özellikle yurtdışı çalşmak isteyen, PayPal; 2co.com vs vs gibi ödeme servisleriyle ilgili ayrıntılı bilgi isteyen arkadaşlardan da merak ettiklerini sormalarını rica ediyorum.

İnternetten para kazanmak mail okuyup linklere tıklayarak ya da speedia gibi programlar kullanarak olmaz :)

Alıntıları Göster

quote:

Orjinalden alıntı: pr0tech
İnternetten para kazanmak mail okuyup linklere tıklayarak ya da speedia gibi programlar kullanarak olmaz :)

quote:

Orijinalden alıntı: General Stalin

quote: Orjinalden alıntı: pr0tech İnternetten para kazanmak mail okuyup linklere tıklayarak ya da speedia gibi programlar kullanarak olmaz :)

Bu dediğine birebir katılıyorum

,belirli bir süre sonra internet üzerinden cd satışı yapmaya başlayacağım.Bu cdler değişik konularda bilgiler,dökümanlar,dosyalar içermekte,ve profesyonelce hazırlanmış,herhangi bir hak ihlali de bulunmamaktaTürkiye'de bu olayın piyasası nasıl,bu konuda bir bilginiz var mı ?

Alıntıları Göster

quote:

Orjinalden alıntı: General Stalin

,belirli bir süre sonra internet üzerinden cd satışı yapmaya başlayacağım.Bu cdler değişik konularda bilgiler,dökümanlar,dosyalar içermekte,ve profesyonelce hazırlanmış,herhangi bir hak ihlali de bulunmamaktaTürkiye'de bu olayın piyasası nasıl,bu konuda bir bilginiz var mı ?

quote:

Orijinalden alıntı: pr0tech

quote: Orjinalden alıntı: General Stalin ,belirli bir süre sonra internet üzerinden cd satışı yapmaya başlayacağım.Bu cdler değişik konularda bilgiler,dökümanlar,dosyalar içermekte,ve profesyonelce hazırlanmış,herhangi bir hak ihlali de bulunmamaktaTürkiye'de bu olayın piyasası nasıl,bu konuda bir bilginiz var mı ?

Bana kalırsa çok büyük bir potansiyel olmayacaktır. Hiç bir şey olmasa istanbulda Kadıköy'de; İzmir'de sevgi yolunda 3- 8 ytl arası istediğin program ya da kaynağa erişebilirsin. Eğer e-book sa düşündüğün şey; bazı e-booklar yasal değil; ve e-book dolu bir cd yi satın almaya kalkacak adam; doğrudan e-book kaynağına da ulaşabilir. 2 yıl kadar önce MCSE olduğum zaman bir portal açmıştık. testking den kendimiz e-book ve sınav satın alıp free download vermiştik kendi sunucumuzdan.

Sözün özü; tutacağına pek ihtimal vermiyorum ancak içeriğine bağlı.

Alıntıları Göster

quote:

Orjinalden alıntı: pr0tech

quote: Orjinalden alıntı: General Stalin ,belirli bir süre sonra internet üzerinden cd satışı yapmaya başlayacağım.Bu cdler değişik konularda bilgiler,dökümanlar,dosyalar içermekte,ve profesyonelce hazırlanmış,herhangi bir hak ihlali de bulunmamaktaTürkiye'de bu olayın piyasası nasıl,bu konuda bir bilginiz var mı ?

Bana kalırsa çok büyük bir potansiyel olmayacaktır. Hiç bir şey olmasa istanbulda Kadıköy'de; İzmir'de sevgi yolunda 3- 8 ytl arası istediğin program ya da kaynağa erişebilirsin. Eğer e-book sa düşündüğün şey; bazı e-booklar yasal değil; ve e-book dolu bir cd yi satın almaya kalkacak adam; doğrudan e-book kaynağına da ulaşabilir. 2 yıl kadar önce MCSE olduğum zaman bir portal açmıştık. testking den kendimiz e-book ve sınav satın alıp free download vermiştik kendi sunucumuzdan.

Sözün özü; tutacağına pek ihtimal vermiyorum ancak içeriğine bağlı.

quote:

Orijinalden alıntı: General Stalin

quote: Orjinalden alıntı: pr0tech quote: Orjinalden alıntı: General Stalin ,belirli bir süre sonra internet üzerinden cd satışı yapmaya başlayacağım.Bu cdler değişik konularda bilgiler,dökümanlar,dosyalar içermekte,ve profesyonelce hazırlanmış,herhangi bir hak ihlali de bulunmamaktaTürkiye'de bu olayın piyasası nasıl,bu konuda bir bilginiz var mı ? Bana kalırsa çok büyük bir potansiyel olmayacaktır. Hiç bir şey olmasa istanbulda Kadıköy'de; İzmir'de sevgi yolunda 3- 8 ytl arası istediğin program ya da kaynağa erişebilirsin. Eğer e-book sa düşündüğün şey; bazı e-booklar yasal değil; ve e-book dolu bir cd yi satın almaya kalkacak adam; doğrudan e-book kaynağına da ulaşabilir. 2 yıl kadar önce MCSE olduğum zaman bir portal açmıştık. testking den kendimiz e-book ve sınav satın alıp free download vermiştik kendi sunucumuzdan. Sözün özü; tutacağına pek ihtimal vermiyorum ancak içeriğine bağlı.

Yok e-book ya da bilindik şeyler değil pek,değişik alanlarda uzmanlık derecesinde bilgiler içeren cdler bunlar bildiğim kadarıyla eurosoft yapıyor bu işi,bir de kurtsoft bu işi iyi yapmıştı.Örnek veriyorum Arkeoloji bilimyle alakalı bir bilgi kaynağı veya dağcılıkla ilgili herşeyi içeren bir kaynak veya kurtsoftun yaptığı gibi dini bilgiler içeren bir kaynak,ya da yine kurtsoftun yaptığı gibi mizah içerikli cdler

Alıntıları Göster

quote:

Orijinalden alıntı: pr0tech

Denemek lazım hocam o zaman. Benim pek alakam olmadı şimdiye kadar. Gittigidiyor dan aldığım 4 dvd yi saymazsak :) Ne de olsa ücretsiz bir site açılabilir e-ticaret için.


Velakin bana Türkiye'nin e-ticaret konusundaki ihtiyacı bir PayPal tarzı ödeme servisiymiş gibi geliyor. Paypal ın Tükiyeyi servis alanına dahil etmediğini düşünürsek; sanırım yakında bir tane paypal versiyonu açacağım.

Banka temaslarım sürüyor şu anda.

Alıntıları Göster

quote:

Orijinalden alıntı: General Stalin

Yorumlarınız ve ilginiz için teşekkür ederim

Alıntıları Göster

quote:

Orijinalden alıntı: pr0tech

rica ederim; teoride veya pratikte yardımcı olabileceğim bir şey olursa msn im:

atil_gurcan@hotmail.com
iyi çalışmalar.

Alıntıları Göster

quote:

Orijinalden alıntı: pr0tech

UP Tekrardan

Alıntıları Göster

quote:

Orijinalden alıntı: canawar85

up

Alıntıları Göster

quote:

Orijinalden alıntı: pr0tech

Evet arkadaşlar yok mu başka sorusu olan yahu? (bir başka up yöntemi :) )

Alıntıları Göster

quote:

Orijinalden alıntı: pr0tech

Tamam ben sorayım o zaman :)

Hala E-Ticaretle uğraşmamanızın temel nedeni nedir?

- Maliyetleri
- Yeterli bilgiye sahip olmama
- Kredi Kartı ödemeleri için gereken altyapının olmaması.
- Diğer.

Anket gibi oldu biraz ama; buradaki yanıtlarınız benim için gerçekten önemli. Kimbilir belki düşündüğünüz kadar zor değildir.
Veya yardımcı olabileceğim bir konudur..

Alıntıları Göster