Il pagamento modale su HTTPS è sicuro se la pagina principale è solo HTTP?

4

Recentemente ho provato ad aggiornare i dati della mia carta di credito su un sito servito su HTTP. Anche dopo il login il sito rimane su HTTP!

Ho notato che Chrome non mi consente di utilizzare le carte di credito salvate per questo motivo.

Dopo aver contattato la società, hanno risposto che la finestra di pagamento stessa è ospitata dal provider di pagamento e servita come modale tramite HTTPS.

Non riesco a vedere come questo è sicuro, perché chiunque potrebbe facilmente fare un attacco man-in-the-middle e sostituire la modale con la propria forma e recuperare le informazioni della carta.

Ho quindi contattato il fornitore di servizi di pagamento, ma anche loro non hanno avuto problemi ad accettare gli indirizzi di riferimento e di richiamo HTTP nella / dalla loro pagina di pagamento. Mi è venuto in mente quando ho visto i requisiti di conformità PCI, perché non descrivono i requisiti per le soluzioni ospitate, come in questo scenario.

Modifica Ho creato questa schermata per aggiungere una certa chiarezza allo scenario: Dimostrazione man-in-the-middle

Le chiavi sono registrate nel modulo di accesso e il modulo "sicuro" della carta di credito è sostituito da un'immagine la seconda volta che viene caricato.

    
posta 08.12.2016 - 16:57
fonte

3 risposte

3

Non esiste una "finestra modale", esiste un contenuto che potrebbe essere destinato a contenere un iframe che punta a un URL sicuro, ma poiché è invocato da insicuro javascript e html è vulnerabile alle modifiche. E come iframe l'utente non riesce a vedere tutti i metadati visualizzati nel chrome del browser quando si naviga verso un URL sicuro.

Non solo è insicuro, è visibilmente insicuro.

    
risposta data 12.12.2016 - 21:27
fonte
0

No, questo non è sicuro per due motivi:

  1. La pagina principale potrebbe essere intercettata e potrebbe essere iniettato codice JavaScript dannoso che ruba i dati che stai inserendo nel modulo di pagamento.
  2. La pagina principale potrebbe essere intercettata e il codice che apre il modulo di pagamento potrebbe essere modificato per caricare un modulo di pagamento falso da un'altra fonte.

Si noti che il secondo punto si applica anche alle pagine di pagamento separate collegate da una pagina caricata su HTTP, nel qual caso è possibile modificare il collegamento a una pagina falsa. Anche se in questo caso puoi vedere l'URL della pagina di pagamento e verificare se è sicuro e legittimo (questo è il motivo per cui è importante controllare sempre l'URL della pagina in cui stai effettivamente inserendo le informazioni di pagamento). Nel caso di qualcosa di simile a quello che descrivi non puoi vedere l'URL del modulo di pagamento in modo che possa essere caricato da un URL malevolo e non sapresti nemmeno da dove proviene.

    
risposta data 18.11.2017 - 19:19
fonte
-1

L'utilizzo di una finestra di dialogo modale HTTPS può essere sicuro a condizione che:

  1. Il modulo di aggiornamento della carta che inserisci il numero della carta di credito e CVC è ospitato sul sito del fornitore di pagamento
  2. La pagina di pagamento visualizza il nome del commerciante, l'importo del pagamento e, eventualmente, l'acquisto dettagliato ed è ospitato sul sito del fornitore di pagamenti
  3. La barra degli URL del browser delle pagine del processore di pagamento è visibile e mostra HTTPS con una barra EV verde
  4. L'utente controlla la barra EV verde sulle pagine del processore di pagamento
  5. L'utente ha fiducia nel processore di pagamento la cui identità è mostrata nella Green EV Bar

Se tutte queste condizioni sono soddisfatte, non importa per la sicurezza della carta di credito se il sito web del carrello degli acquisti del commerciante non è criptato. Tuttavia, possono esserci altri problemi di sicurezza, come la privacy degli articoli acquistati, ma ritengo che sia fuori dalla portata di questa domanda.

    
risposta data 12.12.2016 - 14:56
fonte

Leggi altre domande sui tag