it-swarm-vi.com

Có vấn đề bảo mật nào khi nhúng iframe HTTPS trên trang HTTP không?

Tôi đã thấy trang web đặt ifT HTTPS trên các trang HTTP.

Có bất kỳ mối quan tâm an ninh với điều này? Có an toàn khi truyền thông tin cá nhân như chi tiết thẻ tín dụng trong sơ đồ như vậy không (trong đó thông tin chỉ được đặt trên biểu mẫu iframe HTTPS chứ không phải trên trang mẹ HTTP)?

46
Yahel

Nếu chỉ có iframe là https, người dùng không thể nhìn thấy URL mà nó trỏ tới. Do đó, trang http nguồn có thể được thay đổi để trỏ iframe bất cứ nơi nào nó muốn. Đó là khá nhiều lỗ hổng trong trò chơi giúp loại bỏ các lợi thế của https.

46
user502

iFrames sẽ đưa trang web HTTPS bên trong ra nhiều cuộc tấn công javascript và cookie trong các trình duyệt cũ hơn và có thể gây ra sự cố trong các trình duyệt mới hơn.

Để khắc phục điều này, hãy tra cứu "Frame Busting" để phát hiện nếu iFrames đang được sử dụng. Hãy xem xét giải pháp này trên StackOverflow:

https://stackoverflow.com/questions/958997/frame-buster-buster-buster-code-needed

Trong mã đó, bạn có thể phát hiện nếu iFrames đang được sử dụng và cung cấp nội dung thay thế để hướng người dùng đến trang web phù hợp.

18
goodguys_activate

Khung nội tuyến HTTPS trong một trang được cung cấp qua HTTP sẽ không cho phép người dùng chắc chắn rằng họ thực sự đang sử dụng kết nối HTTPS mà họ mong đợi để được; do đó, điều này có khả năng cho phép iframe bị tấn công trong một cuộc tấn công đơn giản, chẳng hạn như tiêm iframe. Điều này sẽ cho phép thu hoạch mật khẩu, trong số những thứ khác. Một cuộc tấn công như vậy có thể bắt đầu thông qua một Trojan, virus hoặc đơn giản là truy cập một trang web độc hại.

15
Paul

Có, trong khi hầu hết các trình duyệt gần đây sẽ xử lý chính xác các bộ phận SSL, bạn sẽ làm suy yếu tất cả các chức năng được thêm vào trình duyệt chrome để cung cấp phản hồi của người dùng về nội dung. Tôi sẽ không cung cấp bất kỳ thông tin nhạy cảm nào nếu không có kiểm tra URL hiển thị trong trình duyệt của tôi.

7
symcbean

Ngoài các tình huống chiếm quyền điều khiển có thể đã được đưa ra, bạn có thể gặp phải các sự cố trên IE6/7 nếu bạn trỏ đến trang HTTP hoặc HTTPS yêu cầu đăng nhập. Về cơ bản, các cookie từ trang của iframe đang mong đợi bạn sử dụng cùng một giao thức (HTTP hoặc HTTPS) và vì vậy nếu trang bạn đang đặt iframe đang sử dụng HTTP thay vì HTTPS, nó sẽ ngăn người dùng không thể đăng nhập.

2
Dominique

Bất kỳ yêu cầu http nào cũng có nghĩa là hai điều: Một, tin tặc có thể đang rình mò và đọc cả yêu cầu và phản hồi. Hai, tin tặc có thể trả lại một trang web khác với trang web gốc.

Vì vậy, nếu tôi truy cập trang web của bạn thông qua http và nhận lại liên kết https, tin tặc có thể tìm hiểu về liên kết https đó, nhưng tất cả đều không an toàn hơn liên kết http.

Tuy nhiên, không có gì đảm bảo rằng tôi đã nhận được của bạn trang web và không phải do một hacker cung cấp. Vì vậy, khung https thậm chí có thể không xuất hiện trên đúng trang web, chỉ trên trang bị hack. Và không có gì đảm bảo ở tất cả những nơi nó chỉ ra, do đó không có bảo mật nào cả.

Khi bạn bắt đầu với http, liên quan đến bảo mật, trò chơi sẽ kết thúc.

0
gnasher729