Безопасный iframe в небезопасном документе?

Я строю сайт для спортивного центра. Регистрация осуществляется через стороннюю программу. Существуют варианты для регистрации непосредственно через сайт третьей стороны или для интеграции формы регистрации на мой сайт с iframes.Безопасный iframe в небезопасном документе?

Поскольку я предпочитаю не отправлять людей на другой сайт, я пошел с опцией iframes. Мой вопрос: могу ли я быть уверенным, что люди будут получать одинаковый уровень безопасности в iframe, как на полностью защищенной сторонней странице?

спасибо.

источник

2010-07-20 Beau

Этот дизайн делает вас более склонным к SSLStrip. Я рекомендовал посмотреть видео из Talk Moxie Marlenspike. Хотя на практике такая атака не распространена.

Этот iframe не был бы нарушением OWASP A9: Insufficient Transport Layer Protection. Однако, если вы планируете разрешить пользователям заходить на сайт HTTP или передавать идентификатор сеанса по HTTP, то это будет явное нарушение OWASP A9.

Одним словом, https абсолютно необходим для защиты ваших пользователей.

источник

2010-07-20 06:34:43 rook

Спасибо, ладья. Единственная передача личной информации будет сделана в iframe. Я просто недостаточно разбираюсь в безопасности, чтобы справиться с этим. – Beau

@Beau без проблем мужчина. Хорошо, что вы можете распознать свои собственные недостатки. – rook

Если вы думаете о том, чтобы позволить «безопасному» контенту быть «iframe'd» вообще, вы должны хотя бы рассмотреть атаки на клики, прежде чем делать это: http://en.wikipedia.org/wiki/Clickjacking - в большинстве случаев что позволяет iframing - плохая идея, но в некоторых случаях это нормально. –

Безопасный iframe в небезопасном документе?

ответ

Смежные вопросы