it-swarm-eu.dev

Existují bezpečnostní problémy s vložením prvku iframe HTTPS na stránku HTTP?

Viděl jsem weby umísťování prvků iframe HTTPS na stránky HTTP.

Existují s tím nějaké bezpečnostní obavy? Je bezpečné přenášet soukromé informace, jako jsou údaje o kreditní kartě, v takovém schématu (pokud jsou informace umístěny pouze ve formuláři iframe HTTPS, a nikoli na rodičovské stránce HTTP)?

46
Yahel

Pokud je pouze iframe https, uživatel nemůže triviálně vidět URL, na kterou odkazuje. Proto by se zdrojová http stránka mohla změnit tak, aby ukazovala iframe kamkoli chtěla. To je do značné míry chyba zabezpečení, která vylučuje výhody protokolu https.

46
user502

iFrames vystaví vnitřní web HTTPS četným útokům javascriptu a souborů cookie ve starších prohlížečích a může způsobit problémy v novějších prohlížečích.

Chcete-li tento problém vyřešit, vyhledejte část „Busting“ a zjistěte, zda se používají iFrame. Zvažte toto řešení na StackOverflow:

https://stackoverflow.com/questions/958997/frame-buster-buster-buster-code-needed

V tomto kódu můžete zjistit, zda se používají iFrame, a nabídnout alternativní obsah, který uživatele nasměruje na správný web.

18
goodguys_activate

Rámec iframe HTTPS na stránce zobrazované prostřednictvím protokolu HTTP neumožňuje uživateli zajistit, aby skutečně používal připojení HTTPS, které očekávají být; proto to potenciálně umožňuje, aby byl iframe unesen jednoduchým útokem, jako je injekce iframe. To by umožnilo mimo jiné shromažďování hesel. Takový útok by mohl začít trojským koněm, virem nebo jednoduše navštěvováním škodlivého webu.

15
Paul

Ano, zatímco nejnovější prohlížeče budou řádně izolovat části SSL, narušujete všechny funkce přidané do prohlížeče chrome), abyste poskytli zpětnou vazbu od uživatelů ohledně obsahu. zkontrolovat adresu URL zobrazenou v prohlížeči.

7
symcbean

Kromě možných scénářů únosu, které již byly uvedeny, můžete narazit na problémy na IE6/7, pokud poukazujete na stránku HTTP nebo HTTPS vyžadující přihlášení. V zásadě soubory cookie ze stránky iframe očekávají, že budete používat stejný protokol (HTTP nebo HTTPS), a pokud tedy stránka, na kterou vkládáte iframe, používá HTTP místo HTTPS, bránilo by uživateli, aby přihlásit se.

2
Dominique

Jakýkoli požadavek na http znamená dvě věci: Jednou mohou hackeři snooping a čtení požadavku i odpovědi. Dva, hackeři by mohli vrátit jiný web než ten původní.

Pokud tedy přistupuji na váš web pomocí protokolu http a dostanu zpět odkaz https, hackeři by se mohli o tomto odkazu https dozvědět, ale celkem to není méně bezpečné než odkaz http.

Neexistuje však vůbec žádná záruka, že jsem obdržel váš web a žádný takový nebyl poskytnut hackerem. Rámec https se tak nemusí nacházet na správném webu, pouze na hacknutém. A tam, kde to ukazuje, není vůbec žádná záruka, a tedy vůbec žádná bezpečnost.

Jakmile začnete s http, pokud jde o zabezpečení, je konec hry.

0
gnasher729