Ci sono problemi di sicurezza con l'incorporamento di un iframe HTTPS su una pagina HTTP?

45

Ho visto siti web mettere iframe HTTPS su pagine HTTP.

Ci sono problemi di sicurezza con questo? È sicuro trasmettere informazioni private come i dati della carta di credito in uno schema di questo tipo (in cui le informazioni vengono solo inserite nel formato iframe HTTPS e non nella pagina padre HTTP)?

    
posta Yahel 30.11.2010 - 18:13
fonte

5 risposte

44

Se solo l'iframe è https, l'utente non può banalmente vedere l'URL a cui punta. Pertanto, la pagina http di origine potrebbe essere modificata per puntare l'iframe ovunque lo desideri. Questa è praticamente una vulnerabilità di gioco che elimina i vantaggi di https.

    
risposta data 30.11.2010 - 18:35
fonte
18

iFrames esporrà il sito HTTPS interno a numerosi attacchi javascript e cookie nei browser più vecchi e potrebbe causare problemi nei nuovi browser.

Per risolvere il problema, cerca "Frame Busting" per rilevare se iFrame vengono utilizzati. Considera questa soluzione su StackOverflow:

link

In quel codice, puoi rilevare se iFrame vengono utilizzati e offrire contenuti alternativi per indirizzare l'utente al sito appropriato.

    
risposta data 30.11.2010 - 20:01
fonte
15

Un iframe HTTPS all'interno di una pagina pubblicata su HTTP non consente all'utente di essere sicuro che stia effettivamente utilizzando la connessione HTTPS che si aspetta ; pertanto, questo potenzialmente permette che l'iframe venga dirottato in un attacco semplice come un'iniezione di iframe. Ciò consentirebbe la raccolta di password, tra le altre cose. Un simile attacco potrebbe iniziare attraverso un Trojan, un virus o semplicemente visitando un sito Web dannoso.

    
risposta data 30.11.2010 - 20:18
fonte
7

Sì, mentre i browser più recenti eseguono correttamente la sandbox delle parti SSL, si sta compromettendo tutte le funzionalità aggiunte al browser chrome per fornire il feedback degli utenti sui contenuti. Io per primo non fornirei informazioni sensibili senza controllare l'URL visualizzato nel mio browser.

    
risposta data 01.12.2010 - 17:06
fonte
2

Oltre ai possibili scenari di dirottamento già forniti, è possibile che si verifichino problemi in IE6 / 7 se si punta a una pagina HTTP o HTTPS che richiede l'accesso. Fondamentalmente, i cookie dalla pagina dell'iframe si aspettano che tu stia usando lo stesso protocollo (HTTP o HTTPS) e quindi se la pagina su cui stai impostando iframe sta usando HTTP invece di HTTPS, impedirebbe all'utente di essere in grado di accedi.

    
risposta data 03.06.2011 - 23:37
fonte

Leggi altre domande sui tag