Recentemente ho provato ad aggiornare i dati della mia carta di credito su un sito servito su HTTP. Anche dopo il login il sito rimane su HTTP!
Ho notato che Chrome non mi consente di utilizzare le carte di credito salvate per questo motivo.
Dopo aver contattato la società, hanno risposto che la finestra di pagamento stessa è ospitata dal provider di pagamento e servita come modale tramite HTTPS.
Non riesco a vedere come questo è sicuro, perché chiunque potrebbe facilmente fare un attacco man-in-the-middle e sostituire la modale con la propria forma e recuperare le informazioni della carta.
Ho quindi contattato il fornitore di servizi di pagamento, ma anche loro non hanno avuto problemi ad accettare gli indirizzi di riferimento e di richiamo HTTP nella / dalla loro pagina di pagamento. Mi è venuto in mente quando ho visto i requisiti di conformità PCI, perché non descrivono i requisiti per le soluzioni ospitate, come in questo scenario.
Modifica Ho creato questa schermata per aggiungere una certa chiarezza allo scenario: Dimostrazione man-in-the-middle
Le chiavi sono registrate nel modulo di accesso e il modulo "sicuro" della carta di credito è sostituito da un'immagine la seconda volta che viene caricato.