Il nostro sito Web ha un modulo di accesso che compare nell'intestazione in ogni pagina del sito web. Questo è ciò che il mio capo vuole, ma abbiamo bisogno di ottenere PCI conforme e dice che qualsiasi modulo sensibile (login / password) richiede SSL. Questo significa che l'intero sito web deve essere eseguito in SSL mentre un utente non ha effettuato l'accesso?
Un'altra questione correlata a questo, abbiamo un software di sicurezza di terze parti che analizza e collauda il nostro sito e invia un messaggio HTTP al modulo di accesso su tutte le pagine e segnala che non è protetto perché viene inviato sotto HTTP. Mi chiedo come una società come dire Godaddy lo fa perché hanno un login / password sulla loro homepage, ma posso accedervi tramite HTTP e inviare i miei dati di accesso bene. Con quella logica non sono sicuri perché mi permette di farlo bene? Mi sento come se mi mancasse qualcosa ma non sono sicuro di cosa.
operativa -Editazione- Alcune informazioni che provengono dal sito di sicurezza:
Descrizione Esiste una vulnerabilità che consente a un utente malintenzionato di raccogliere informazioni sensibili (credenziali di accesso e così via) che si ritiene siano SSLsecured.
In particolare, è stato trovato un modulo su una pagina HTTP (non crittografata) che invia informazioni a una pagina HTTPS (crittografata). Un attaccante potrebbe sfruttare l'avvelenamento della cache (DNS / DHCP / ARP / etc) o un'altra vulnerabilità (ad esempio XSS) per causare l'invio della pagina HTTP informazioni su un sito Web controllato dagli utenti malintenzionati anziché sul sito HTTPS legittimo.
Inoltre, esistono toolkit per automatizzare il processo di raccolta di tali credenziali, connettendosi al sito HTTPS legittimo e stabilire l'attaccante come un proxy trasparente tra la vittima e l'ospite legittimo in cui l'attaccante vede tutto informazioni in chiaro (comprese le credenziali di accesso, ecc.)
Vittima < --------- --------- HTTP > attaccante < --------- --------- HTTPS > legittimo sito
Punteggio CVSS 2.1
Soluzione
Non consentire alcuna informazione che si desidera che SSL protetto provenga da una pagina non protetta.