Dovrei preoccuparmi dell'avviso anti-XSS di NoScripts quando effettui un pagamento 3DSecure?

4

Quando faccio un pagamento online usando 3DSecure (Verified by Visa o Mastercard Securecode), NoScript mi informa che ha interrotto uno script potenzialmente insicuro in cui il sito A (la banca o l'azienda della carta di credito) tenta di eseguire uno script con la destinazione nel sito B (il commerciante) utilizzando Cross-site scripting (XSS).

NoScript mi dice Posso autorizzare il sito di destinazione (il commerciante) se sono molto sicuro della pagina web di destinazione è immune alle vulnerabilità XSS . Sebbene sia abbastanza sicuro che il sito di origine sia sicuro, sono meno sicuro del sito di destinazione. Ho comunque aggiunto il commerciante alla whitelist, perché avevo bisogno di prenotare un biglietto del treno. Come cliente, a quali rischi sono esposto aggiungendo il commerciante alla whitelist? Qualcuno può rubare i dettagli della mia carta di credito?

    
posta gerrit 01.02.2016 - 15:56
fonte

2 risposte

2

3D Secure è un sistema di prevenzione delle frodi:

3-D Secure XML-based protocol designed to be an additional security layer for online credit and debit card transactions. It was originally developed by Arcot Systems, Inc and first deployed by Visa with the intention of improving the security of Internet payments and is offered to customers under the name Verified by Visa.

E la tua preoccupazione:

NoScript informs me that it has stopped a potentially insecure script

È molto probabile non un attacco XSS effettivo.

Questo "reindirizzamento XSS" si verifica perché la pagina di pagamento sul sito Web in questione ti reindirizza a un gateway di pagamento . È un reindirizzamento, sì, e potrebbe essere usato per attaccarti sì, ma !

  1. Dovresti controllare il lucchetto verde nella barra degli indirizzi sul sito web da cui stai acquistando. Se non c'è un lucchetto verde, non inserire nemmeno i tuoi dati.
  2. Quando invii il pagamento, puoi vedere dove ti sta reindirizzando, dato che NoScript ti avvisa. Hai verificato che l'URL appartenga a 3DSecure?
    • A meno che l'autore dell'attacco non abbia accesso alla tua macchina e sia in grado di modificare il plug-in NoScript per segnalare l'URL sbagliato, allora dovresti stare bene. Tuttavia, se un utente malintenzionato ha accesso alla tua macchina, ci sono cose più grandi di cui devi preoccuparti.

Si noti che in molti casi, ignorando il reindirizzamento XSS (rifiutandosi di "Ricarica non sicura") si consente comunque il pagamento per me. Non sono a conoscenza se questo è il caso sul sito web che stai visitando.

Rischi potenziali

As a customer, what risks am I exposed to by adding the merchant to the whitelist? Can someone steal my credit card details?

Si tratta davvero della sicurezza di ciascun sito.

Se si utilizza https e i certificati vengono emessi correttamente, è altamente improbabile un attacco man-in-the-middle.

Questi certificati https convalidano che sei sul sito web corretto mentre crittografano la tua connessione a / fro. Tuttavia, i tuoi dati sono sicuri quanto i entrambi siti web che lo gestiscono. Se esiste una vulnerabilità in entrambi i siti Web, anche se i certificati sono validi, è potrebbe essere possibile che i tuoi dati vengano rubati.

È sicuramente possibile che un sito Web venga violato e che i dati vengano raccolti all'interno e successivamente consultati in seguito. Tuttavia, la maggior parte delle società di carte di credito promettono zero responsabilità sulle frodi. Il tuo? Anche se ciò non impedirà l'uscita delle tue informazioni personali, offre almeno una certa attenuazione in caso di violazione.

Dovrei preoccuparmi dell'avvertenza anti-XSS di NoScript qui?

Dipende . Tutto controlla? Lucchetti verdi nella barra degli indirizzi? In generale, non c'è bisogno di preoccuparsi. Tuttavia , se uno dei siti Web in questione viene violato, allora no ... non ci si può fidare del sito o a quel punto.

    
risposta data 12.02.2016 - 15:44
fonte
1

Non penso che si possa rispondere a questo in senso generale - questo è probabilmente più un commento, ma troppo lungo per adattarsi come tale. È troppo dipendente dalla configurazione del commerciante, dalla banca e dalla relazione tra di loro.

Ad esempio, se il commerciante memorizza il numero della carta di credito quando si effettua un acquisto e ha una vulnerabilità XSS che consente a un utente malintenzionato di leggere i dati dalla pagina in cui si conferma il numero CVV, un utente malintenzionato potrebbe ovviamente ottenere il proprio numero CVV . Tuttavia, se il commerciante è conforme PCI (quale dovrebbe essere), l'utente malintenzionato non dovrebbe essere in grado di ottenere il numero di carta di credito da questa stessa vulnerabilità - il commerciante non dovrebbe mai emettere il numero completo della carta. Se avessero una vulnerabilità XSS che consentiva loro di monitorare i dati immessi nella schermata di inserimento della carta, tuttavia, potrebbero essere in grado di rubare il numero della carta, anche se non viene conservato più a lungo sul sito.

3DSecure in realtà non cambia questo, ma aggiunge un livello di verifica che la banca può usare per dire "guarda, qualcuno ha inserito le lettere della tua password 3DSecure, che solo tu conosci, quindi deve essere stato tu". In un certo senso, questo in realtà causa ulteriori problemi: se un utente malintenzionato può trovare una vulnerabilità nel sistema di pagamento mercantile che fa apparire una finta finestra 3DSecure, potrebbe farti inserire lettere dalla tua password in un modo che è difficile per un utente casuale da rilevare (gli iframe non hanno barre URL ...). È importante sottolineare che 3DSecure non riguarda la sicurezza del computer. Si tratta di frodi.

    
risposta data 12.02.2016 - 15:53
fonte

Leggi altre domande sui tag