Ho una domanda su come fornire informazioni sulla carta di credito su un sito web non sicuro, con un sito apparentemente sicuro. È veramente sicuro? Ho letto su un'altra domanda risposta sul forum per verificare il codice sorgente e cercare "Form Action=", ma non c'è nulla di simile nella pagina di origine Nessun HTTPS sul modulo di iscrizione con carta di credito - può essere sicuro?
Ecco il sito web: link
Grazie per le tue risposte!
Sebbene la pagina stessa non sia caricata su HTTP, la visualizzazione dell'ordine è uno Iframe caricato su HTTP, ma inserito in una pagina HTTPS.
MentreilmodulostessopubblicaunapaginaHTTPS,ilframecaricatostessoèHTTP.
Questononèsicuroacausadelfattocheilcontenutodell'iframenonhaintegrità.LapaginastessapotrebbeesseremodificatadaunMITMperinviareilmoduloaunserviziononautorizzato.Secontrolliilmodulo,puoivederechestainviandoilpagamentoa"spreedly", che alla ricerca è un processore di carta di credito.
Tuttavia, esiste un gestore di clic e un gestore di invio per i moduli.
Questigestorihannolacapacitàdidirottarequell'URLecambiarlogiustoprimacheessosiaeffettivamentepubblicato.Creareun'altrastradaperilfurtodelleinformazionidellatuacarta.
Ilmodulodiordinazionestessoèospitatosuunaltrosito,
Non ordinare attraverso di loro. Se vuoi lamentarti di loro, vai qui link
Come previsto, il modulo viene effettivamente inviato a un sito HTTPS. Ciò significa che se il sito funziona come progettato, quindi i dati della tua carta di credito rimangono al sicuro.
Il problema sta nel fatto che siccome questa pagina è non sicura, se hai un uomo malvagio nel mezzo, come una rete wireless non sicura, questa pagina è non sicuro da manomissioni e potrebbe essere modificato in modo che i dati della carta di credito siano non inviati tramite una connessione sicura, o addirittura non inviati al ristorante, ma a l'attaccante invece.
L'intero processo dell'ordine deve essere protetto da TLS. Non solo la pagina di accettazione del pagamento.
Non consegnare la tua carta di credito o altre informazioni di pagamento su una pagina che non è crittografata con SSL, ovvero HTTPS. SSL / TLS è una crittografia end-to-end tra il browser e il server Web in modo che nessuno nel mezzo possa visualizzare i dati sensibili (numero di carta di credito in questo caso).
È difficile credere che un'azienda stia chiedendo informazioni di pagamento su una pagina HTTP non sicura. Mentre dicono che la parte di pagamento è "sicura", non sembra così e vorrei ordinare il mio cibo in un altro sito web. Un attacco MiTM implementato da qualcuno sulla tua LAN locale, utilizzando strumenti come Wireshark, finirà per rivelare le informazioni della tua carta di credito in testo semplice.
Per una migliore comprensione del problema, controlla la risposta a una domanda simile qui su come determinare se la tua connessione non è sicura: No HTTPS sul modulo di iscrizione con carta di credito - può essere sicuro?
Leggi altre domande sui tag encryption web-application tls