Abbiamo due siti, app.company.com e www.company.com. In questo momento, gli utenti sono addestrati solo ad inserire le loro credenziali di accesso su app.company.com. Entrambi i siti utilizzano SSL. App.company.com utilizza CSRF e scansioniamo attivamente le vulnerabilità della sicurezza. www.company.com, ospitato in una società di hosting separata, non viene trattato con lo stesso livello di attenzione perché non ci sono dati dei clienti su di esso.
Ora vorremmo essere in grado di presentare un modulo di accesso su www.company.com che invia ad app.company.com, in modo che il modulo di accesso possa essere più facilmente scorticato; i colori sono cambiati, la grafica inserita, quel genere di cose. Ma ci piacerebbe farlo in modo sicuro. Non riesco a vedere immediatamente un modo sicuro per farlo.
Il più vicino a cui riesco a pensare è di avere un IFRAME, ma anche quello sembra essere vulnerabile al clickjacking. Inoltre, se www.company.com fosse stato compromesso, non ci sarebbe stato nulla che impedisse loro di sostituire semplicemente l'IFRAME con un modulo regolare e catturare il contenuto del modulo.
Quindi, la mia domanda è questa. C'è un modo per consentire agli utenti di inviare il loro nome utente e password da un sito non sicuro senza compromettere la sicurezza?