Sécurité de la page de paiement

Bonjour,

grâce à ton aide, nous avons pu mettre en place stripe sur notre page.

par contre, je remarque que la liste des js sur cette page est un peu longue.

C’est une bonne pratique de sécurité que de limiter le js au maximum sur cette page.

British Airways se sont fait choper comme ça

• The British Airways Hack: JavaScript Weakness Pin-pointed Through Time-lining | by Prof Bill Buchanan OBE | ASecuritySite: When Bob Met Alice | Medium
• et en version podcast: Magecart – Darknet Diaries

Je ne pense pas que nous soyons la cible d’une telle attaque, mais l’erp frappe pourrait
(C’est aussi déjà arrivé sur d’autres plateformes d’ecommerce libre comme magento ou autre)
(Je reporte sur le forum, c’est pas non plus hypersensible)

Si c’est une chose que je peux fixer de mon coté, je veux bien tenter, mais sinon, le plus efficace serait de le fixer du coté de frappe.

Allez, si tu veux, et si cela fait sens, je peux faire le bug report upstream.

Hello,

On pourrait peut-être réduire un peu le JS chargé sur cette page, mais le risque ne sera jamais réduit à néant.
Je pense que la meilleure solution serait de la supprimer simplement et de passer par une page de paiement fournie par Stripe.

C’est ce qu’on a mis en place pour GoCardless par exemple.

Depuis quelques années les coordonnées de paiement sont saisies dans des éléments intégrés sur une page du site web de Dokos, mais qui sont fournis par Stripe. Ca permet d’avoir une interface harmonisée avec le reste du site.
A l’époque, la page de paiement Stripe n’était vraiment pas très jolie, donc cette option avait été choisie.
Je pense qu’aujourd’hui ça mérite d’être reconsidéré.

L’autre avantage est que ça permettrait de bénéficier des autres modes de paiement que Stripe propose depuis quelques temps (prélèvement SEPA par exemple) au lieu de la simple carte bancaire.