Modulo di accesso sicuro da un sito non sicuro

1

Abbiamo due siti, app.company.com e www.company.com. In questo momento, gli utenti sono addestrati solo ad inserire le loro credenziali di accesso su app.company.com. Entrambi i siti utilizzano SSL. App.company.com utilizza CSRF e scansioniamo attivamente le vulnerabilità della sicurezza. www.company.com, ospitato in una società di hosting separata, non viene trattato con lo stesso livello di attenzione perché non ci sono dati dei clienti su di esso.

Ora vorremmo essere in grado di presentare un modulo di accesso su www.company.com che invia ad app.company.com, in modo che il modulo di accesso possa essere più facilmente scorticato; i colori sono cambiati, la grafica inserita, quel genere di cose. Ma ci piacerebbe farlo in modo sicuro. Non riesco a vedere immediatamente un modo sicuro per farlo.

Il più vicino a cui riesco a pensare è di avere un IFRAME, ma anche quello sembra essere vulnerabile al clickjacking. Inoltre, se www.company.com fosse stato compromesso, non ci sarebbe stato nulla che impedisse loro di sostituire semplicemente l'IFRAME con un modulo regolare e catturare il contenuto del modulo.

Quindi, la mia domanda è questa. C'è un modo per consentire agli utenti di inviare il loro nome utente e password da un sito non sicuro senza compromettere la sicurezza?

    
posta ChrisInEdmonton 14.04.2016 - 21:52
fonte

1 risposta

3

Is there a way to allow users to submit their username and password from an insecure site without compromising security?

No. Come ti sei reso conto nella tua domanda, il sito potrebbe essere compromesso e tutto sarà sostituito. E questo potrebbe essere fatto in un modo che l'utente non è a conoscenza di questo.

Allenare gli utenti a fidarsi di un sito così insicuro è una cattiva idea, perché non solo le credenziali di accesso potrebbero essere afferrate, ma la fiducia in questo sito potrebbe essere utilizzata anche negli attacchi social. Ad esempio, il sito potrebbe affermare che un plug-in o un aggiornamento del browser è necessario per continuare e quindi l'utente installa il malware.

    
risposta data 14.04.2016 - 22:08
fonte

Leggi altre domande sui tag