Rischi di usare una pagina web senza SSL / TLS per le donazioni

3

C'è un sito chiamato www.mysite.com . Usa Qgiv per prendere donazioni e ha alcuni attributi di dati HTML5 come:

 <div class="qgiv-embed-container visible-lg-block" > data-qgiv-embed="true" data-embed-id="1" data-embed="https://secure.qgiv.com/" ></div>

dove vengono raccolte le informazioni di pagamento (dettagli della carta).

Non esiste SSL / TLS per www.mysite.com e si basa su Qgiv per la raccolta delle informazioni di pagamento.

  1. È un sito in cui posso inserire informazioni di pagamento per donare in sicurezza? So che Qgiv ha un certificato sicuro, ma non ha donato in passato a un sito che non utilizza SSL che utilizza gli attributi dei dati per incorporare le informazioni da Qgiv. L'organizzazione usava usare Paypal ma ora è passata a Qgiv.

  2. L'organizzazione che gestisce il sito è aperta al feedback dei donatori, ma è necessario dir loro chiaramente perché il loro attuale assetto potrebbe non essere conforme agli standard PCI.

posta Chris H 04.04.2016 - 03:00
fonte

2 risposte

2

Se non ci sono HTTPS sulle pagine che reindirizzano a Qgiv, un Man-In-The-Middle potrebbe intercettare la pagina di reindirizzamento e sostituire il reindirizzamento a Qgiv con un reindirizzamento al sito dell'attaccante.

Il sito dell'aggressore potrebbe utilizzare HTTPS e catturerà i dettagli della carta in quanto l'utente non sarà a conoscenza del fatto che il sito sia il gateway di pagamento legittimo o meno.

Naturalmente, l'attaccante dovrà essere opportunamente posizionato, ad es. in un coffee shop su una rete wireless insicura. Si consiglia di utilizzare HTTPS sull'intero sito per impedirlo, in combinazione con una politica HSTS.

    
risposta data 04.04.2016 - 11:41
fonte
1

Prima di tutto SSL e TLS sono protocolli crittografici progettati per fornire sicurezza delle comunicazioni su una rete di computer.

Per il tuo caso:

Se il sito web non ha SSL / TLS (consiglio vivamente TLS), tutti i dati inviati a quel sito Web specifico sono in testo semplice.

Se il sito web non ha SSL / TLS ma il modulo di pagamento è incorporato in quel sito Web specifico e tale modulo utilizza TLS / SSL, allora: Il modulo è sicuro ma accetta i dati da siti Web non protetti! Ciò significa che se sono sulla stessa rete e eseguo un attacco MITM posso ottenere dati e l'unico problema è che aggiungo altre 3 linee di comandi:)

Se il sito web non ha SSL / TLS ma il modulo di pagamento si trova su una pagina protetta (come se aprisse una nuova pagina), tutto va bene.

Bonus: Se riesci a inquadrare il sito web, tutte le divinità di SSL / TLS stanno andando a dormire e SOLO se puoi inviare link falsi e puoi indurre le persone a pensare che il sito web sia reale.

    
risposta data 04.04.2016 - 08:38
fonte

Leggi altre domande sui tag