it-swarm.it

Ci sono problemi di sicurezza con l'incorporazione di un iframe HTTPS in una pagina HTTP?

Ho visto siti Web posizionare iframe HTTPS su pagine HTTP.

Ci sono problemi di sicurezza con questo? È sicuro trasmettere informazioni private come i dettagli della carta di credito in un tale schema (in cui le informazioni sono inserite solo nel modulo iframe HTTPS e non nella pagina padre HTTP)?

46
Yahel

Se solo l'iframe è https, l'utente non può vedere banalmente l'URL a cui punta. Pertanto, la pagina http di origine potrebbe essere modificata per puntare l'iframe ovunque desiderasse. Questa è praticamente una vulnerabilità da game over che elimina i vantaggi di https.

46
user502

iFrames esporrà il sito HTTPS interno a numerosi attacchi javascript e cookie nei browser più vecchi e potrebbe causare problemi nei browser più recenti.

Per risolvere questo problema, cerca "Frame Busting" per rilevare se vengono utilizzati iFrame. Considera questa soluzione su StackOverflow:

https://stackoverflow.com/questions/958997/frame-buster-buster-buster-code-needed

In quel codice, è possibile rilevare se vengono utilizzati iFrame e offrire contenuti alternativi per indirizzare l'utente al sito corretto.

18

Un iframe HTTPS all'interno di una pagina pubblicata su HTTP non consentirà all'utente di essere sicuro di utilizzare effettivamente la connessione HTTPS che si aspettano essere; pertanto, ciò potenzialmente consente all'iframe di essere dirottato in un semplice attacco come un'iniezione di iframe. Ciò consentirebbe la raccolta di password, tra le altre cose. Un simile attacco potrebbe iniziare attraverso un Trojan, un virus o semplicemente visitando un sito Web dannoso.

15
Paul

Sì, mentre i browser più recenti eseguiranno correttamente il sandbox delle parti SSL, stai minando tutte le funzionalità aggiunte al browser chrome per fornire un feedback degli utenti in merito ai contenuti. controllando l'URL visualizzato nel mio browser.

7
symcbean

Oltre ai possibili scenari di dirottamento già indicati, è possibile che si verifichino problemi su IE6/7 se si punta a una pagina HTTP o HTTPS che richiede l'accesso. Fondamentalmente, i cookie dalla pagina dell'iframe si aspettano che tu stia utilizzando lo stesso protocollo (HTTP o HTTPS) e quindi se la pagina su cui stai inserendo l'iframe utilizza HTTP anziché HTTPS, impedirebbe all'utente di essere in grado di accesso.

2
Dominique

Qualsiasi richiesta http significa due cose: una, gli hacker potrebbero curiosare e leggere sia la richiesta che la risposta. Due, gli hacker potrebbero essere in grado di restituire un sito Web diverso da quello originale.

Quindi, se accedo al tuo sito Web tramite http e ricevo un link https, gli hacker potrebbero conoscere quel link https, ma tutto sommato non è meno sicuro di un link http.

Tuttavia, non esiste alcuna garanzia che io abbia ricevuto il tuo sito web e non uno fornito da un hacker. In modo che il frame https non sia nemmeno presente sul sito corretto, ma solo su quello compromesso. E non c'è alcuna garanzia dove punta, quindi nessuna sicurezza.

Una volta che inizi con http, per quanto riguarda la sicurezza, il gioco è finito.

0
gnasher729