Richiesta HTTP da incorporamenti tracciabili

Naviga le tue risposte
0

Sono piuttosto nuovo qui quindi per favore sii gentile con me, una sicurezza newb.

Ho un sito web in cui voglio che un utente compili un modulo. Questo modulo esiste già su un altro sito che possiedo (che ha maggiori capacità), ma a causa del nome del sito / url potrebbe essere un rischio per la sicurezza fisica per gli utenti del primo sito (i paesi in cui risiedono gli utenti potrebbero perseguitare loro per andare al sito web).

Incorporando qualcosa dal 2 ° sito nel mio primo sito, sto mettendo a rischio i miei utenti? Potrebbero essere tracciate le richieste HTTP fatte attraverso il modulo web sull'embedded? Come viene gestita qualsiasi richiesta attraverso un embed? È come se l'utente stesse andando a quel sito Web comunque?

    
posta Ryan Smith 30.04.2018 - 22:06
fonte

2 risposte

1

Se semplicemente inserisci contenuti dal sito A (pericoloso) nel sito B (innocente) qualcuno che osserva il traffico dell'utente vedrà richieste fatte al sito A, cioè non quello che vuoi.

Invece è necessario replicare il sito completo A nel sito B in modo che il sito B incorpori solo le risorse dal sito B e anche l'invio del modulo finale deve inviare i dati al sito B. Ciò può essere fatto rendendo il server sul sito B un proxy che internamente inoltra (non reindirizza!) ogni richiesta al sito A. Assicurati di non utilizzare collegamenti pienamente qualificati che includano il nome del sito A, ma solo link relativi al sito o al sito assoluto (cioè collegamenti senza dominio esplicito).

    
risposta data 30.04.2018 - 22:11
fonte
0

Crea un altro dominio non correlato con un nome innocente (innocent.io), usa HTTPS e invia lì gli utenti sensibili alla sicurezza.

Reindirizza le risposte da innocent.io a sensitive.io usando le connessioni lato server, non lato client. Ciò proteggerà i tuoi utenti dall'ispezione, in quanto interagiranno solo con innocent.io e solo i tuoi server si parleranno l'un l'altro.

    
risposta data 30.04.2018 - 22:13
fonte

Leggi altre domande sui tag

PGP Prevenzione della perdita di dati per endpoint Linux Parametro del compilatore per isolare un programma C ++