Come decidere se un eshop è sicuro o compromesso
Quindi, sto riscontrando questo problema in cui desidero acquistare un prodotto Wacom specifico ma il loro negozio online eu-store.wacom.com e us-store.wacom.com, anche se si accede tramite HTTPS, non convince il mio Firefox che è sicuro.
L'attuale homepage di Wacom www.wacom.com si presenta con un corretto lucchetto verde ed è verificato da godaddy. Il loro eshop è sotto lo stesso wacom.com dominio ma manca la verifica godaddy.
Le mie domande sono: perché sta accadendo questa incoerenza, come posso verificare che la pagina del negozio sia effettivamente di Wacom e, in definitiva, è sicuro per me acquistare cose con la mia carta attraverso di essa?
Su eu-store.wacom.com, alcune immagini dalla loro CDN Amazon sono richieste su http anziché su https. Ciò può essere risolto installando HTTPS Everywhere e attivando "Crittografa tutti i siti idonei":
Il lucchetto grigio indica che tutte le risorse sono servite in modo sicuro. Quindi è molto probabile che il webstore non sia compromesso. Stanno ancora usando un codice obsoleto basato su CBC e SHA1, quindi un potere statale potrebbe essere ancora in grado di intercettare o addirittura MITM la connessione.
Le mie domande sono: perché sta accadendo questa incoerenza
Questo è noto come contenuto misto , in cui la pagina viene caricata con HTTPS, mentre alcune parti (immagini) vengono caricate tramite HTTP non sicuro.
come posso verificare che la pagina del negozio sia effettivamente di Wacom
Finché il sistema non è stato compromesso, l'unico modo è utilizzare HTTPS ovunque e visitare l'URL corretto oppure l'HTTP può essere MITM e la risposta restituita potrebbe essere una pagina di phishing.
[~ # ~] note [~ # ~] : - Questa risposta ignora tutte le altre vulnerabilità web/browser.
è sicuro per me acquistare cose con la mia carta attraverso di essa?
Bene, probabilmente ti reindirizzano a un sito Web diverso quando è il momento di pagare che potrebbe utilizzare HTTPS. A parte queste immagini possono essere manomesse in una situazione MITM. La maggior parte di un utente malintenzionato può fare è
Gli aggressori potrebbero essere in grado di manipolare parti della pagina, ad esempio visualizzando contenuti fuorvianti o inappropriati, ma non dovrebbero essere in grado di rubare i dati personali dal sito.
Su eu-store.wacom.com, alcune immagini dalla loro CDN Amazon sono richieste su http anziché su https
Vorrei continuare da quello. Firefox dice che non è sicuro al 100% perché sta caricando contenuti non protetti. Direi ingenuamente ... è sicuro al 95%
Ora non significa il sito wacom.com non è legittimo , ma forse non è configurato correttamente . Se acquisti oggi da quel sito, non è probabile che tu stia pagando un truffatore che finge di essere Wacom , ma vedi più avanti.
Al contrario, i contenuti non protetti offerti su http possono rappresentare un pericolo per Wacom stessi che non hanno configurato correttamente il loro negozio.
Oltre a ciò che possono fare gli attaccanti a livello governativo, ecco alcuni esempi di ciò che un vero attaccante può fare su un attacco MitM su un semplice vecchio http:
- Le immagini pubblicate su http potrebbero visualizzare qualcos'altro rispetto al prodotto che si intende acquistare
- Javascript (e possibilmente CSS) offerto su http può essere modificato e causare qualsiasi possibile danno, incluso l'annullamento del numero della tua carta di credito
Iframes offerti su http possono essere modificati e causare numerosi danni, ma probabilmente non annusare il tuo numero CC (correggimi se sbaglio)
Naturalmente sto parlando da un PoV più teorico del protocollo.
Così...
come posso verificare che la pagina del negozio sia effettivamente di Wacom?
Sì, sono loro. Il sito non è compromesso, ma vulnerabile
è sicuro per me acquistare cose con la mia carta attraverso di essa
Probabilmente dalla tua rete domestica. Eviterei sempre la navigazione sensibile su wifis o Tor pubblici senza una corretta crittografia