È una pratica categoricamente scorretta pubblicare annunci aggregati di terze parti in una pagina di pagamento in cui vengono inserite informazioni sensibili?
Questo invia per me tutti i tipi di campanelli d'allarme, ma ho avuto difficoltà a convincere i ranghi superiori che qualcosa dovrebbe essere fatto. Qualcuno può fornire alcune fonti attendibili che spiegano bene questo, o forse mi dicono di rilassarmi?
Se gli annunci di terze parti sono incorporati come iframe, potrebbero essere utilizzati per attacchi di social e UI, simulando avvisi, pulsanti, campi di input per carte di credito o simili per ingannare l'utente. Ma con iframe non può essere usato per rubare dati utente dalla pagina originale. Se gli annunci sono invece incorporati come Javascript, la situazione peggiora ulteriormente, poiché in questo modo il codice degli annunci ha pieno accesso al tuo sito e può leggere e manipolare la pagina, che include la lettura di tutti i dati inseriti dall'utente.
Questo problema non è limitato solo alla pagina di checkout e non solo agli annunci, ma è pertinente ogni volta che includi librerie Javascript di terze parti nel tuo sito e quindi influisce anche sui pulsanti dei social media o simili. Se includi uno script di terze parti in una pagina che la terza parte può avere il pieno controllo di questa pagina, causa azioni con l'identità dell'utente attualmente connesso.
Leggi altre domande sui tag credit-card defense xss