Ik moet mijn opmerking corrigeren, de PCI vereist -helaas- niet dat de hele site via SSL beschermd is. Wel is er de eis dat de transfer van transactiegegevens wordt beveiligd middels encryptie. Bij een MITM aanval is dat natuurlijk niet het geval, maar de PCI gaat niet op dat soort situaties in (m.a.w. je kunt de verantwoordelijkheid al snel op de klant afschuiven). N.b. MITM aanvallen zijn vooral via publieke WiFi hotspots (o.a. op Schiphol!) eenvoudig uit te voeren.
Dat je als web-site eigenaar zo voldoet aan eisen zoals van de PCI, wil
niet zeggen dat je zo een veilige site voor doorsnee gebruikers hebt gemaakt; banken onderkennen dit langzamerhand, kijk bijv. maar naar
https://secure.security.nl/artikel/36756/1/ING_waarschuwt_voor_inloggen_via_e-mail.html.
Mensen die via een phishing e-mail of vervalste Google zoekresultaten op een site terechtkomen die als twee druppels water op vliegwinkel.nl lijkt (p.s. vliegwinkel.eu is nog vrij!), zullen
niet merken dat ze hun creditcardgegevens invoeren op een niet-SSL protected site (dit naast het eerder door mij aangekaarte risico voor MITM aanvallen).
Je kunt een deel van dit probleem oplossen door mensen te leren dat alle websites, waar je (direct of indirect) financiële transacties mee doet en/of persoonsgegevens achterlaat, uitsluitend via SSL benaderbaar zijn. Toegegeven, er zullen echter altijd sukkels zijn die nooit op SSL/TLS slotjes letten. Echter, net zoals voor Anoniem van 11:25 hierboven geldt ook voor mij dat ik, als ik kan kiezen, de voorkeur geef aan beter beveiligde sites. Die sites hebben dus een commercieel voordeel, en dat neemt alleen maar toe naarmate meer websites standaard via SSL beschikbaar komen (Google, twitter etc).
Overigens houdt vliegwinkel.nl zich niet aan
https://beheer.thuiswinkel.org/waarborg/index.asp?bedrijfid=6e21f5dc62713689871903d48a0cbade v.w.b. "Uw persoonsgegevens laat u achter in een beveiligde webomgeving, die is voorzien van minimaal een SSL-certificaat (slotje onder of boven aan de webpagina)", want als ik op "Log in" gevolgd door "Aanmelden" klik en vervolgens op
http://www.vliegwinkel.nl/RegisterProfile.aspx mijn persoonsgegevens invul, zie ik nergens een slotje. Het zou best kunnen dat die gegevens via SSL worden verzonden (ik heb het niet getest), maar ook al is dat zo, hoe weet ik dat dit zal gebeuren op het moment dat ik op "Gegevens bewaren" klik?
PS mijn bijdragen zijn niet bedoeld om specifiek Vliegwinkel te pesten. Er zijn meer sites die het net zo fout doen. Dat anderen iets niet goed doen kan echter nooit de enige reden zijn om het dan zelf ook maar niet goed te doen. Met de toename van smartphones/tablets en bijbehorende open WiFi verbindingen moeten de beheerders van dit soort website hun verantwoordelijkheid nemen, en ook de PCI zou dat moeten doen.