Attualmente sono volontario in una organizzazione non profit. Durante la ricerca di qualcosa di non correlato, ho notato che $ sisteragency utilizzava un iFrame incorporato per accettare donazioni online. Mentre l'origine del frame utilizza HTTPS, la pagina su cui si trova è HTTP.
$ sisteragency utilizza software CRM di terze parti per gestire le donazioni, fornito da $ crmcompany. $ crmcompany afferma di essere conforme PCI, ma le sue istruzioni sembrano essere costruite attorno all'aggiunta di iFrame a una pagina non sicura. La sua knowledge base contiene un messaggio suggerito per mostrare agli utenti che si riduce a "Anche se non è possibile visualizzare il lucchetto o https nella barra degli indirizzi, la parte della pagina che cattura le informazioni di pagamento [l'iFrame] è sicuro." La loro pagina YouTube ha un'esercitazione video in cui mostrano l'iFrame (con un https src) che viene aggiunto a una pagina http. Il loro sito ha anche istruzioni dettagliate per rispondere alle richieste di conformità PCI da un processore di pagamento (come in, esattamente cosa inserire in ogni campo).
Questo mi sembra davvero losco. Non è possibile che un uomo nel mezzo di attacco modifichi lo src di iFrame, poiché la pagina contenente è http? Nonostante le affermazioni di $ crmcompany, non è $ sisteragency anche responsabile della conformità PCI ($ crmcompany dice che è responsabile della conformità dei suoi clienti)? $ Crmcompany è negligente e / o non conforme fornendo istruzioni per incorporare il sistema di pagamento sicuro in una pagina non sicura?
In sostanza, ho ragione ad essere così turbato da tutto questo?