Chiarire gli attacchi MITM e il requisito del certificato digitale

0

Stiamo eseguendo un'applicazione Portal per i nostri clienti con Payment Gateway integrato. Il gateway di pagamento utilizza SSL come suppone di essere.

La mia preoccupazione è che la nostra applicazione Portal non utilizzi HTTPS lasciandola vulnerabile agli attacchi MITM ma dal momento che il gateway di pagamento utilizza SSL, siamo ancora aperti agli attacchi MITM? Quali sono gli altri rischi coinvolti?

Sulla base dei suggerimenti qui, cercherò di convincere il nostro cliente ad acquistare un certificato digitale da un'autorità certificante che registra, se necessario.

    
posta Zama Ques 03.07.2014 - 08:28
fonte

2 risposte

3

Spesso non è solo il caso che "le informazioni di pagamento" sono le uniche informazioni sensibili. Se il tuo portale richiede una sorta di "login" (cosa che indubbiamente fa), permetti a molte parti in mezzo (proprietari di Internet Cafe, ISP, "hacker", datori di lavoro, governi, ...) di vedere queste credenziali e prendere in consegna il conto.

Se il tuo portale ha qualcosa in termini di pagamenti ricorrenti che possono impostare dal tuo lato non protetto, o qualsiasi richiesta che possa influire sull'account dei soggetti, non offri alcuna protezione in tal senso.

I certificati SSL e i vantaggi che offrono (anche se si tratta solo di un'immagine professionale e affidabile) superano di gran lunga il prezzo economico.

    
risposta data 03.07.2014 - 09:06
fonte
0

Questa è una supposizione, ma presumibilmente il tuo sito è per la maggior parte HTTP, quindi quando deve elaborare un pagamento diventa HTTPS o inoltra a una pagina HTTPS?

Se è così, c'è il rischio, perché è possibile ingannare gli utenti visitando una pagina HTTPS solo su HTTP. Per esempio vedi link .

Come allude a m1ke, puoi avere delle parti tra il tuo client e il tuo server, es. coffee shop. In questo scenario è perfettamente plausibile per loro fare qualcosa come una striscia SSL, quindi gli utenti potrebbero non utilizzare SSL per il loro pagamento, dopo tutto.

Per non parlare del fatto che se non stai usando SSL per la parte "principale" del tuo sito, corri il rischio che qualcuno possa crearne una copia dannosa e utilizzarla per attacchi di phishing o ingannare gli utenti la versione errata del sito piuttosto che la versione reale - se questo accade, i cattivi hanno il controllo completo dei dati che l'utente invia inclusi i dati personali e finanziari.

    
risposta data 03.07.2014 - 13:24
fonte

Leggi altre domande sui tag