امنیت در معاملات اینترنتی

به گفتهء بسیاری از ریاضی‌دانان و دانشمندان عرصهء رایانه، رمز‌نگاری (cryptography) یكه‌تاز پیشرفت میان علوم دیگر است و هیچ علمی ‌از علوم بشری نتوانسته است تا این حد پیشرفت كند و سرچشمهء این پیشرفت جایی جز ادغام نبوغ، منطق ریاضی و علوم رایانه نیست. این روش‌ها و شگرد‌ها برای ما كه در دنیای ارتباطات زندگی می‌كنیم نقش‌های متفاوتی را ایفا می‌كنند، مانند ایجاد امنیت ارتباط، پنهان‌سازی اطلاعات‌، احراز هویت و بسیاری از كار‌های دیگر.
برخی جست‌‌وجوگرها از تكنیكی به نام _ SSL Secure Socket (Layerسوكت‌های لایه امن) استفاده می‌كنند تا اطلاعاتی را كه بین مرورگر شما و وب سرور مبادله می‌شود، رمزنگاری كنند. هنگامی‌كه علامت «قفل» در گوشه پایین مرورگر نمایش داده می‌شود، به این معنی است كه مرورگر ارتباط رمز شده امن با سرور برقرار كرده است و بنابراین ارسال دیتای حساس مانند شماره كارت اعتباری امن است.
● شنل قرمزی
در این باره كه آیا واقعا این سیستم امن است و می‌توان از این طریق با اطمینان دادوستدهای حساس مالی را رد و بدل كرد، می‌توان گفت پاسخ این است كه SSL (سوكت‌های لایه امن) فقط ارتباط بین مرورگر شما و وب سرور را امن می‌كند و برای محافظت از اطلاعات شما در آن سرور كاری انجام نمی‌دهد. این مساله به عنوان مساله شنل قرمزی در دنیای اینترنت مطرح است كه نام آن بر گرفته از همان داستان شنل قرمزی است.
«ارتباط مبتنی بر اعتماد و نه استناد» واژه‌ای آشناست برای مشتریان بازار شبكه. در شركت‌‌های بزرگ كه می‌توانند سرورها و خطوط ارتباطی با ظرفیت‌‌های بالا را اختصاصی و برای ارتباط مستقیم تهیه كنند تا جایی كه شما بتوانید به شركت اعتماد كنید، مشكلی ایجاد نخواهد شد اما بسیاری از شركت‌‌های كوچك‌تر توانایی تهیه سرور اختصاصی را ندارند. آنها از «سرور‌‌های برنامه‌‌های كاربردی»‌، ( application (servers استفاده می‌كنند و این جایی است كه عدم امنیت به وجود می‌آید. شما مجبورید به میزبانی كه هیچ شناختی از آن ندارید، اطمینان كنید و به ایمن بودن نحوهء دریافت اطلاعاتتان از آن میزبان توسط شركت مورد نظرتان اعتماد كنید و تضمینی برای ایمن بودن این ارتباط نیست. شاید هم بتوان گفت معمولا امنیت به درستی موجود نیست.
● امنیت كاذب
بیش‌تر ارایه‌دهندگان خدمات وب برای مشتری‌‌های خود یك برنامه CGI ارایه می‌دهند كه FormMail نام دارد. آنچه كه این برنامه انجام می‌دهد این است كه محتوای یك فرم اینترنتی را، مانند فرمی‌كه شما اطلاعات كارت اعتباری خود را در آن قرار می‌دهید، می‌گیرد و از طریق ایمیل به شركت ارسال می‌كند. برای این ایمیل نه محافظتی وجود دارد و نه رمزنگاری صورت می‌گیرد.
آنچه كه اتفاق می‌افتد این است كه شركتی كه شما از آن خرید می‌كنید، ظاهری امن به خود می‌گیرد تا شما اطلاعات حساس را وارد كنید. سپس همان اطلاعات را از طریق ایمیل معمولی برای شركت ارسال می‌كند. در واقع تمامی این روال برای دادن یك احساس امنیت كاذب به شماست. بسیاری از شركت‌‌های كوچك هستند كه سایتشان توسط شركت‌های خدماتی، میزبانی می‌شود كه ابدا سرویس‌‌های امن ارایه نمی‌كنند. این سرویس‌ها برای اجرا نیازمند به یك سری زیرساخت هستند كه معمولا میزبانان این هزینه‌‌ها را قبول نمی‌كنند.
شاید احساس ناخوشایندی باشد وقتی بدانید سایت‌ها نیز می‌توانند دروغ بگویند و یا به تعهداتشان عمل نكنند. حتی می‌شود نسبت به امنیت اطلاعات شخصی شما بی‌تفاوت باشند. گاهی اوقات خود شركت‌‌ها نیز اعلام می‌كنند «هدف یك فرم امن‌، راضی كردن كاربران به وارد كردن جزییات كارتشان است». حال خود فكر كنید كه اگر ارسال اطلاعات كارت اعتباریتان به شركت بدون استفاده از رمزنگاری با پست الكترونیك امنیت كافی را داشت، چرا خودتان این كار را نكنید؟ یعنی چرا خودتان آن را ایمیل نكنید. اما به هر حال هنوز، این شركت‌ها مشتریانی دارند كه به آنها پول می‌دهند تا به آنها این حس كاذب را بدهند كه به طور حتم كسی جوابگوی سوء‌استفاده از كارت‌هایشان نخواهد بود.
● راهكار
در این آشفته‌بازار امنیت كه با وجود تمام این شركت‌‌هایی كه به تاجران راه‌‌هایی ارایه می‌كنند تا به مشتریانشان این احساس كاذب امنیت را بدهند، یك شركت كوچك به منظور امن كردن واقعی معاملات، چه باید بكند؟ یك روش برای آن شركت، استفاده از ایمیل‌‌های رمزشده مانند PGP است. در حالی كه بعضی از این روش استفاده می‌كنند، برای بعضی شركت‌های تجاری كوچك به دلیل نبود افراد خبره برای تنظیم و استفاده از PGP ، این كار مشكل است. بعضی شركت‌‌های میزبان اینترنت وجود دارند كه بخش سرور این ارتباط را تنظیم می‌كنند، اما در طرف مقابل كه یك شركت كوچك تجاری است باید بتواند PGP را روی كامپیوتر خود نصب و استفاده كند.
روش امن دیگر، ذخیرهء اطلاعات در پایگاه داده‌ای روی وب سرور اما در جایی است كه از وب دسترسی مستقیم به آن ممكن نباشد. زمانی كه شركت میزبان اینترنت قابل اعتماد نیست و یا قصد دارید امنیت بیش‌تری را به وجود آورید، این پایگاه داده می‌تواند رمزنگاری شود. تاجران بعدا می‌توانند اطلاعات مربوط به معاملات را با استفاده از ارتباط رمزشده SSL (سوكت‌های لایهء امن) خود بازیابی كنند. اما در این روش فروشنده باید بتواند سیستم امن را برای خود ایجاد كند. این عمل به میزان مشخصی از توانایی‌های برنامه‌سازی احتیاج دارد تا سیستم نوشته شود.
بنابراین روند مورد نظر امن به این شكل خواهد بود; فرم سفارش امن است و اطلاعات بین كامپیوتر مشتری و سرور به صورت رمز شده خواهد بود. در سرور، اطلاعات به صورت رمز شده در یك پایگاه داده ذخیره می‌شود، سپس فروشنده از طریق ایمیل از رسیدن سفارش‌‌ها مطلع می‌شود (هیچ گونه اطلاعات مهم و حساس در ایمیل‌‌ها قرار ندارد) و بالاخره، فروشنده اطلاعات را از طریق یك ارتباط امن دیگر بازیابی می‌كند.
بنابراین، وقتی كه راه‌هایی برای تامین امنیت واقعی برای معاملات وجود دارد، چگونه باید مشتری را مطلع كرد كه معامله واقعا امن است یا خیر؟ در حال حاضر راه ساده‌ای وجود ندارد. مشخصا، شما می‌خواهید مطمئن شوید كه فرم امن است، به علاوه می‌خواهید مطمئن شوید كه شركت به شما حس كاذب امنیت نمی‌دهد و این حس واقعی است. یك راه این است كه به سیاست‌‌های حریم خصوصی آن شركت نگاهی بیندازید (البته با این فرض كه چنین چیزی وجود دارد) و مطمئن شوید كه در آن ذكر شده است كه «اطلاعات كارت اعتباری هیچ مشتری هرگز بدون رمزنگاری از طریق اینترنت ارسال نخواهد شد.» به هر حال، هنوز روش كاملی برای تضمین امن ماندن اطلاعات وجود ندارد، بنابراین به جمله Caveat Emptor می‌رسیم كه «بگذارید خریدار خود آگاه و مواظب باشد.»