Il pagamento utilizza un iframe più sicuro rispetto all'utilizzo come libreria Javascript?

2

Tradizionalmente la maggior parte dei fornitori di pagamenti fornisce solo siti di pagamento ospitati tramite reindirizzamento o iframe. Ma ora un numero crescente supporta anche l'integrazione dei pagamenti tramite una libreria Javascript.

Immagino il caso in cui un utente malintenzionato è in grado di iniettare il codice nell'app Web: l'autore dell'attacco non è ancora in grado di leggere il contenuto dell'iframe a causa della politica della stessa origine. D'altra parte nel caso di librerie JS, un jQuery 1-liner è sufficiente per inviare i dati della carta di credito dell'utente a un server.

Questa vista è corretta? Oppure entrambe le opzioni sono ugualmente sicure, perché una volta che un utente malintenzionato può iniettare il codice, potrebbe comunque fare (quasi) qualcosa?

    
posta Philip 02.09.2014 - 11:56
fonte

1 risposta

4

Sebbene la politica della stessa origine possa impedire a un utente malintenzionato di accedere al contenuto iFrame legittimo, il problema è che l'utente non ha modo di verificare che stiano effettivamente interagendo con l'iFrame legittimo (a meno che non si passi alla fonte che gli utenti non lo faranno). Un utente malintenzionato potrebbe altrettanto facilmente sostituire la sorgente iFrame con una pagina di phishing e ottenere in questo modo gli estremi della carta di credito dell'utente.

Entrambi i gateway basati su iFrame e JS sono vulnerabili a circa gli stessi problemi, quindi direi che sono entrambi insicuri rispetto ai gateway ospitati. I vantaggi dei gateway ospitati sono:

  • L'utente può verificare l'URL per essere sicuro con chi sta interagendo con
  • L'utente può convalidare il certificato e la crittografia SSL / TLS per essere ancora più sicuro su chi sta interagendo con
  • Un gateway di pagamento gestito da una banca è molto probabilmente testato per le vulnerabilità meglio di qualche sito arbitrario.
  • Gli utenti possono essere ragionevolmente sicuri dell'integrità dei loro dettagli di pagamento se i totali, ecc. vengono visualizzati dal gateway esterno. Rispetto al sito in cui il sito potrebbe dire che ti addebiteranno una cosa e poi ti caricheranno un'altra.

D'altro canto, il trasferimento degli utenti a un gateway di pagamento esterno è considerato una cattiva esperienza utente e l'interfacciamento con un processore di pagamento in modo sicuro sul lato server è complicata, quindi vengono fatti dei compromessi e questi gateway basati su JS stanno diventando popolari.

    
risposta data 02.09.2014 - 12:14
fonte

Leggi altre domande sui tag