3D Secure è un sistema di prevenzione delle frodi:
3-D Secure XML-based protocol designed to be an additional security layer for online credit and debit card transactions. It was originally developed by Arcot Systems, Inc and first deployed by Visa with the intention of improving the security of Internet payments and is offered to customers under the name Verified by Visa.
E la tua preoccupazione:
NoScript informs me that it has stopped a potentially insecure script
È molto probabile non un attacco XSS effettivo.
Questo "reindirizzamento XSS" si verifica perché la pagina di pagamento sul sito Web in questione ti reindirizza a un gateway di pagamento . È un reindirizzamento, sì, e potrebbe essere usato per attaccarti sì, ma !
- Dovresti controllare il lucchetto verde nella barra degli indirizzi sul sito web da cui stai acquistando. Se non c'è un lucchetto verde, non inserire nemmeno i tuoi dati.
- Quando invii il pagamento, puoi vedere dove ti sta reindirizzando, dato che NoScript ti avvisa. Hai verificato che l'URL appartenga a 3DSecure?
- A meno che l'autore dell'attacco non abbia accesso alla tua macchina e sia in grado di modificare il plug-in NoScript per segnalare l'URL sbagliato, allora dovresti stare bene. Tuttavia, se un utente malintenzionato ha accesso alla tua macchina, ci sono cose più grandi di cui devi preoccuparti.
Si noti che in molti casi, ignorando il reindirizzamento XSS (rifiutandosi di "Ricarica non sicura") si consente comunque il pagamento per me. Non sono a conoscenza se questo è il caso sul sito web che stai visitando.
Rischi potenziali
As a customer, what risks am I exposed to by adding the merchant to the whitelist? Can someone steal my credit card details?
Si tratta davvero della sicurezza di ciascun sito.
Se si utilizza https e i certificati vengono emessi correttamente, è altamente improbabile un attacco man-in-the-middle.
Questi certificati https convalidano che sei sul sito web corretto mentre crittografano la tua connessione a / fro. Tuttavia, i tuoi dati sono sicuri quanto i entrambi siti web che lo gestiscono. Se esiste una vulnerabilità in entrambi i siti Web, anche se i certificati sono validi, è potrebbe essere possibile che i tuoi dati vengano rubati.
È sicuramente possibile che un sito Web venga violato e che i dati vengano raccolti all'interno e successivamente consultati in seguito. Tuttavia, la maggior parte delle società di carte di credito promettono zero responsabilità sulle frodi. Il tuo? Anche se ciò non impedirà l'uscita delle tue informazioni personali, offre almeno una certa attenuazione in caso di violazione.
Dovrei preoccuparmi dell'avvertenza anti-XSS di NoScript qui?
Dipende . Tutto controlla? Lucchetti verdi nella barra degli indirizzi? In generale, non c'è bisogno di preoccuparsi. Tuttavia , se uno dei siti Web in questione viene violato, allora no ... non ci si può fidare del sito o a quel punto.