Che cosa significa il messaggio e non è sicuro pagare online su questo sito?

0

Il problema si verifica su Opera 45.0.2552.812 Linux stabile a 64 bit con identificazione del browser

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.81 Safari/537.36 OPR/45.0.2552.812

Un negozio web (non dirà il nome per non comprometterli nel caso in cui si tratti di un problema da parte mia) ha un campo per inserire i dati della carta di credito (nome, data di scadenza, cvc). Quando faccio clic su uno dei campi, Opera visualizza un menu a discesa in stile casella combinata sotto il campo "Pagamento non protetto!". Allo stesso tempo, vedo un messaggio "Contenuto bloccato" nella parte destra della barra degli indirizzi. Quando faccio clic su quel messaggio e scelgo di attivare detto contenuto non sicuro, posso vedere che la pagina non è HTTPS e facendo clic sul globo nella parte sinistra della barra degli indirizzi viene visualizzato il popup allegato.

Che cosa significa l'informazione e dovrei astenermi dal fare un pagamento su quel sito web?

Schermata allegata: link

Modifica:

Il "Pagamento non sicuro!" l'avviso appare solo dopo aver attivato il contenuto non protetto nella barra degli indirizzi. Finché non lo faccio, non ti viene in alcun modo avvisato quando inserisci le informazioni nei campi della carta di credito.

    
posta iksemyonov 16.06.2017 - 17:33
fonte

3 risposte

3

È difficile offrire qualcosa di diverso dalle "teorie" senza analizzare il codice reale, ma questo sembra probabile:

  1. È una pagina pubblicata su https.
  2. Alcuni carichi su http. Qualcosa con href="http: // ..."
  3. Questo è sufficiente per Opera per a) bloccare il contenuto + e + mostrare il messaggio "contenuto bloccato".
  4. Finché il contenuto http è bloccato, il resto della pagina sottoposta a rendering è sicuro, quindi non viene visualizzato un avviso di "contenuto non protetto". A proposito, la maggior parte dei browser esegue il rendering (senza bloccare, ma con / senza preavviso) ciò che considera "contenuto passivo" nonostante sia http (ad esempio immagini).
  5. Quando abiliti il contenuto non sicuro, allora Opera diventa balistica e emette avvisi di "contenuto non protetto".

Cosa potrebbe andare storto: Alcuni dei contenuti non protetti attivi sulla pagina hanno accesso al DOM, ad esempio a ogni bit di informazioni inserito, inclusi i dettagli della carta di credito. Questa è una brutta notizia perché, a meno che non si scavi più a fondo, non si saprà se tale accesso è abusato. Quindi, in generale, si presume il peggio (anche se è solo una stupida sorveglianza da parte di un programmatore) e non si rischiano le tue informazioni. Naturalmente, se ti senti sicuro delle tue capacità analitiche, potresti analizzare il contenuto non sicuro - assicurati che non stia caricando più codice in fase di esecuzione e poi decidi se è sicuro. Per la maggior parte dei peeps, è un po 'troppo quando tutto ciò che vogliono è comprare qualche filatore fidget. :)

P.S. Quello che non riesco a conciliare qui è il tuo "Vedo che la pagina non è https". Questo non si concilia con lo screenshot (dove vedi un cert), quindi suppongo che tu intendi che la pagina non è "100% https".

    
risposta data 16.06.2017 - 18:26
fonte
1

Sembra che la pagina principale sia distribuita su https ma che parte del contenuto non lo sia. Tecnicamente non è sicuro, motivo per cui il tuo browser ti avvisa.

In pratica, chi lo sa. Se fosse un sito di forum o qualcos'altro di basso valore, potrei farlo. Nessuna possibilità con le informazioni sulla carta di credito

    
risposta data 16.06.2017 - 17:40
fonte
1

Che cosa significa l'informazione e dovrei astenermi dal fare un pagamento su quel sito web?

  1. La pagina di iscrizione al pagamento del negozio online senza SSL è sospetta

  2. Il webshop che non usa il certificato SSL appropriato (autofirmato, scaduto, ecc.) è sospetto.

  3. Il webshop che non implementa correttamente SSL significa che il webshop è mal gestito, l'applicazione è priva di patch. Sono suscettibili allo scripting cross-site che esegue lo skimming dei dati.

risposta data 16.06.2017 - 18:23
fonte

Leggi altre domande sui tag