it-swarm-id.com

Apakah ada masalah keamanan dengan menyematkan iframe HTTPS pada halaman HTTP?

Saya telah melihat situs web menempatkan HTTPS iframe pada halaman HTTP.

Apakah ada masalah keamanan dengan ini? Apakah aman untuk mengirimkan informasi pribadi seperti detail kartu kredit dalam skema semacam itu (di mana informasi hanya ditempatkan pada formulir iframe HTTPS, dan tidak pada halaman induk HTTP)?

46
Yahel

Jika hanya iframe adalah https, pengguna tidak dapat dengan mudah melihat URL yang ditunjuknya. Oleh karena itu, halaman sumber http dapat diubah untuk mengarahkan iframe ke mana saja ia mau. Itu cukup banyak kerentanan game-over yang menghilangkan kelebihan https.

46
user502

iFrames akan mengekspos situs HTTPS dalam ke berbagai serangan javascript dan cookie di browser lama, dan dapat menyebabkan masalah di browser yang lebih baru.

Untuk memperbaikinya, cari "Penghilang Bingkai" untuk mendeteksi jika iFrames sedang digunakan. Pertimbangkan solusi ini di StackOverflow:

https://stackoverflow.com/questions/958997/frame-buster-buster-buster-buster-code-needed

Dalam kode itu, Anda dapat mendeteksi apakah iFrames sedang digunakan, dan menawarkan konten alternatif untuk mengarahkan pengguna ke situs yang tepat.

18

Iframe HTTPS dalam halaman yang dilayani melalui HTTP tidak akan memungkinkan pengguna untuk memastikan mereka benar-benar menggunakan koneksi HTTPS yang mereka harapkan menjadi; oleh karena itu, ini berpotensi memungkinkan iframe untuk dibajak dalam serangan sederhana seperti injeksi iframe. Ini akan memungkinkan pengambilan kata sandi, antara lain. Serangan semacam itu dapat dimulai melalui Trojan, virus, atau hanya mengunjungi situs web berbahaya.

15
Paul

Ya, sementara sebagian besar browser terbaru akan melakukan sandbox dengan benar pada bagian-bagian SSL, Anda merusak semua fungsionalitas yang ditambahkan ke browser chrome untuk memberikan umpan balik pengguna mengenai konten. I untuk satu tidak akan memberikan informasi sensitif tanpa memeriksa URL yang ditampilkan di browser saya.

7
symcbean

Selain skenario pembajakan yang mungkin telah diberikan, Anda dapat mengalami masalah pada IE6/7 jika Anda menunjuk ke halaman HTTP atau HTTPS yang membutuhkan login. Pada dasarnya, cookie dari halaman iframe mengharapkan Anda menggunakan protokol yang sama (HTTP atau HTTPS) dan jadi jika halaman yang Anda gunakan iframe menggunakan HTTP alih-alih HTTPS, itu akan mencegah pengguna untuk dapat Gabung.

2
Dominique

Setiap permintaan http berarti dua hal: Satu, peretas mungkin mengintai dan membaca baik permintaan maupun responsnya. Dua, peretas mungkin dapat mengembalikan situs web yang berbeda dari yang asli.

Jadi jika saya mengakses situs web Anda melalui http, dan menerima tautan https kembali, peretas mungkin mengetahui tentang tautan https itu, tetapi secara keseluruhan itu tidak kalah aman dibandingkan dengan tautan http.

Namun, tidak ada jaminan sama sekali yang saya terima Anda situs web dan tidak ada yang disediakan oleh peretas. Sehingga bingkai https bahkan mungkin tidak ada di situs yang benar, hanya di situs yang diretas. Dan tidak ada jaminan sama sekali di mana ia menunjuk, karena itu tidak ada keamanan sama sekali.

Setelah Anda mulai dengan http, sejauh menyangkut keamanan, permainan berakhir.

0
gnasher729