Are input fields that don’t have name="" sent via the browser
Non dal processo di invio del modulo HTML standard. Tuttavia JavaScript sul lato client può leggere il contenuto dei campi e inviarli da soli.
Are input fields that don’t have name attributes susceptible to MITM attacks (w/o SSL) or any other attack?
Sì. Tutto il contenuto di una pagina che non è protetto da SSL è suscettibile agli attacchi MitM.
Anche se stripe.js legge il numero della carta di credito e lo invia ai server Stripe in modo completamente sicuro, non c'è modo di sapere che il resto della pagina non è stato manomesso da un attacco MitM attivo al momento del caricamento. Ad esempio, un pezzo di JavaScript potrebbe essere stato iniettato nella pagina che ascolta i tasti e invia il numero di carta di credito all'autore dell'attacco separatamente.
Questo è il motivo per cui il consiglio agli utenti è sempre quello di verificare che SSL sia abilitato a livello di pagina e perché PCI-DSS richieda che le pagine Web in cui l'utente è invitato a digitare una password debbano mostrarsi come SSL- protetto nell'interfaccia utente del browser.
I understand that SSL would be a good idea but would it be necessary?
Sì. In ogni caso Stripe ti richiede per farlo .
- Serve your payment page over SSL, i.e., the page's web address should begin with https, not http.