Stavo per effettuare un acquisto su un sito Web, ma la pagina che contiene il modulo di iscrizione con carta di credito è servita tramite HTTP e non HTTPS. È sicuramente pericoloso?
Il sito web pubblicizza l'uso di "RapidSSL", ma se invio il numero della mia carta di credito tramite HTTP, questa connessione SSL non verrà utilizzata. Premendo Avanti su questa pagina è un problema di sicurezza?
Controllato ora: i dettagli CC vengono realmente inviati UNINCRYPTED via cavo. Non usano affatto SSL. Neanche sul POST. I dettagli della carta di credito vengono realmente inviati in chiaro, via cavo. Il pulsante RapidSSL è anche falso, perché non fa apparire una convalida quando viene cliccato (quali pulsanti reali di RapidSSL dovrebbero fare)
Ho anche controllato. Hanno un sito SSL con certificato reale e Tutto, ma disabilitano specificatamente SSL reindirizzando a HTTP quando si tenta di caricare lo spazio dei nomi / secure su HTTPS. Dovrebbe essere davvero l'opposto, in cui HTTP reindirizza a HTTPS.
Direi che puoi essere sicuro di inviare un numero CC lì, e questo è solo in questo caso specifico: Se sei sicuro al 100% che il tuo PERCORSO INTERO, dal tuo computer, al server di quella società, sia completamente affidabile, puoi inviare il CC lì. Ciò include la fiducia del tuo ISP, del tuo proprietario e di ogni router e dispositivo sul percorso verso la Società in questione.
Come verificare te stesso:
Controlla la fonte della pagina. Se la carta di credito forma "form action=" parametro Punta a un sito HTTPS, è crittografato.
Se il parametro "form action=" è vuoto o contiene un valore non valido, è probabile che il CC venga inviato tramite uno script AJAX e quindi devi rovistare tonnellate di codice JS per scoprire se CC viene inviato crittografato o no .
Tuttavia, l'invio a un sito HTTPS da un sito HTTP NON è SICURO al 100%. È possibile che la pagina in questione sia stata modificata in transito da un utente malevolo per inviare i dettagli al server di un utente malintenzionato o tramite una connessione HTTP per poter annusare i dati.
Tuttavia, gli attacchi MITM / di modifica sono rari, se sei a casa sulla tua connessione di casa e NON ti siedi su wireless, è piuttosto difficile entrare in una posizione adatta per poter modificare i dati in transito.
Direi:
Finché il modulo viene inviato a una risorsa HTTPS ( form action=https://blaahblaahblaah ), puoi essere SUFFICIENTE sicuro che la carta di credito non è trapelata.
Se consideriamo che solo i listini PASSIVI, nessun avversario attivo nella rete, il tuo numero di carta di credito è sicuro al 100% se il modulo viene inviato tramite HTTPS. Tuttavia, questo NON è nel caso qui, quindi dovresti davvero fidarti del link Prima di inviare qualcosa lì. Nemmeno la tua connessione di casa potrebbe essere completamente sicura al 100% per inviare i dettagli CC lì, se conti nella sicurezza fisica di OGNI nodo sul percorso.
In nessun caso è sicuro inviare un numero di carta di credito su una connessione non protetta. Ci sono due ragioni. Il primo è che non puoi sapere se il percorso tra te e il server è sicuro; il percorso può cambiare da un giorno all'altro e anche da un minuto all'altro.
La ragione più importante è che il commerciante che non riesce a proteggere le proprie transazioni web potrebbe avere altre cattive abitudini. Non intendo dire che sono disonesti; solo che non capiscono la sicurezza o non se ne preoccupano. Non sono sicuro che sia peggio! Quindi potrebbero esserci ben altri problemi di cui non sei ancora a conoscenza.
Se devi acquistare qualcosa da questo sito, controlla se la tua compagnia di carte di credito offre numeri utilizzabili una sola volta, o ritira una carta prepagata quanto basta per completare la transazione. (Nota: a volte è difficile spendere gli ultimi dollari su una carta prepagata.Potrebbe anche essere più difficile contestare un addebito su una carta prepagata.Il numero one-shot è la strada da percorrere se possibile)
Leggi altre domande sui tag encryption credit-card tls