Il provider di autenticazione di terze parti è incluso tramite iframe per impostazione predefinita considerato (in) sicuro?

0

Il provider di autenticazione X viene utilizzato da molti siti Web non correlati come A, B e C come provider di autenticazione (esclusivo). X per questo fornisce un framework per l'athentification che include un modulo di login tramite un iframe nel sito web di A (o B / C) in cui l'utente inserisce le proprie credenziali. (A / B / C sono ospitati sotto il proprio dominio, non correlato.) Quindi l'utente fa clic su login e se le credenziali per X sono corrette, è autenticato per il sito Web A (o B / C). In alternativa, può fare clic per aprire una nuova finestra da un URL dal sito Web X e inserire le sue credenziali lì (deve farlo per ogni accesso).

A mio parere un utente malintenzionato potrebbe creare un sito web come un forum di gioco G fingendo di usare X per l'autenticazione e falsificare l'iframe e inviare le credenziali immesse dall'utente U al proprio server e utilizzare le credenziali di U per autentificarsi da A / B / C come U. U non ha idea che saranno usati per autentificare contro A e non contro G poiché sono gli stessi e A e G non sono correlati.

Ho detto a X di questo, ma hanno semplicemente risposto che inserire le credenziali al di fuori del proprio sito web (al di fuori include l'iframe) sarebbe contrario ai loro termini di utilizzo ma dovrebbe usare la nuova versione della finestra e quindi non la considerano un buco di sicurezza. Non importa che li abbia mostrati provi che nessuno ha usato la nuova versione della finestra negli ultimi mesi (compreso il proprio staff).

Quindi voglio sapere se c'è una linea guida se questo è considerato (in) sicuro?

(X è usato principalmente dai siti web nelle aree di HIPA, dati finanziari, informazioni personali sensibili e X si promuove come molto sicuro per quelle ma anche aree normali)

Modifica: non voglio usare il framework ma sono un utente (forzato) come molti altri dei siti web A e B e i dati su di me sono archiviati in C e preoccupati per la mia sicurezza e la sicurezza dei miei dati .

    
posta H. Idden 04.01.2016 - 22:47
fonte

2 risposte

2

Penso che tu veda il problema che l'utente non sa come e dove viene inviato il modulo di login senza effettivamente ispezionare il codice sorgente. E che sarebbe molto meglio se ci fosse una finestra separata in modo che l'utente possa vedere l'URL, idealmente insieme a una barra verde dall'aspetto fidato per i certificati di sicurezza https.

E anche se questo non garantisce che i dati vengano effettivamente inviati a questo sito (ad es. attacchi XSS o simili potrebbero influenzare il target o potrebbe essere un target diverso dall'inizio) è meglio per l'utente se viene visualizzato lo stesso URL su tutti gli accessi al sito perché in questo modo può essere più facile controllare se questo è lo stesso sito dell'ultima volta e quindi se è ancora affidabile.

Pertanto sono d'accordo con te sul fatto che questo è un problema di usabilità che potrebbe rendere il phishing più facile ed è quindi anche un problema di sicurezza. Potresti sottolineare nella tua argomentazione contro X che siti come Paypal non lasciano mai che le loro finestre di login siano incorporate negli iframe, ma preferiscono sempre avere una propria finestra con la fidata barra verde di blocco e l'URL familiare. E in realtà insegnano agli utenti a prestare attenzione a questi segni per rilevare i siti di phishing.

    
risposta data 04.01.2016 - 23:33
fonte
-1

Hai molto nella tua breve spiegazione e penso che un po 'più di guida possa aiutarti.

Un iFrame non è altro che un tag HTML che ti permette di incorporare "documenti" nella tua pagina web - nella tua istanza di visualizzazione di una pagina web. Ci sono alcune critiche su questo metodo, ma il concetto non è necessariamente insicuro.

La prima cosa che deve essere determinata è chi è responsabile per l'iFrame incorporato. È fatto in casa, costruito da terze parti, fuori dal proprio prodotto?

Successivamente, è stata testata l'applicazione (non l'applicazione di autenticazione, ma dovrebbero essere in grado di fornire un rapporto di conformità che è presente se valgono qualcosa), ma il tuo sito web che utilizza l'iFrame, o squadra assunta, una terza parte assunta o la società OOTB assunta ha testato l'applicazione?

Hai una scelta? Mi piace personalmente vedere un reindirizzamento al sito di autenticazione e farli reindirizzare nuovamente all'applicazione.

L'applicazione di autenticazione fornisce specifiche su come incorporare l'iFrame? Se l'applicazione è progettata per l'integrazione in altre applicazioni, di solito ci sono documenti di sviluppo sull'argomento.

    
risposta data 04.01.2016 - 23:37
fonte