0
Безопасно использовать SSL-iframe на странице SSL. Кадр SSL содержит форму.В чем опасность использования SSL-iframe в SSL-страницах
A
ответ
8
Важной частью безопасности, предоставляемой HTTPS, является проверка подлинности сервера, на котором вы говорите. Это делается verifying that the certificate is genuine and that it matches the requested host name.
Хотя большинство аспектов проверки выполняются технически в браузере (проверка соответствия PKI и проверка соответствия имени хоста), последний шаг является точкой зрения пользовательского интерфейса и должен выполняться визуально пользователем. Проверка правильности использования HTTPS пользователями, когда они намереваются использовать это, является исключительно их обязанностью.
Если вы намеревались перейти на https://www.google.com/, но набрали https://www.g-o-o-o-o-o-gle.com, у обоих могли быть подлинные сертификаты (каждый может получить сертификат в наши дни, даже нападающие, вознаграждение может стоить инвестиций). Пользователи должны убедиться, что они посещают сайт, который они намереваются посетить.
Встраивая iframe с ссылкой https:// на другую страницу (HTTPS или нет), вы не позволяете пользователю проверить, что они подключаются к предполагаемому сайту. Нереально ожидать, что пользователи проведут проверку DOM страницы, чтобы убедиться, что запросы отправляются на хост, к которому они ожидают, чтобы он переходил. На этом этапе идентификация сайта в пределах iframe вряд ли проверяется пользователем: им действительно нужно доверять встраиванию.
Хороший плохой пример этого исходит от банковской отрасли, не что иное, что дало нам 3-D Secure. Торговые сайты предназначены для включения страницы, предоставленной вашим банком в iframe, с просьбой ввести пароль для проверки использования вашей кредитной карты. Однако, как пользователь, вы должны доверять сайту продавца, потому что он вполне может перенаправить вас на сайт под его контролем и прокси-сервером на все запросы на подлинный сайт банка. Он выглядел бы точно так же, как подлинный сайт банка, но торговец (или ассоциированный сотрудник) мог видеть все, что вы набираете. Не каждый пользователь может использовать инструменты разработчика, такие как Firebug (даже для разработчиков, если задействовано немного JS, очень сложно отслеживать, что происходит). (Это немного стыдно, потому что одна из целей этой системы заключается в том, чтобы, к сожалению, предотвратить мошенничество с плохими сайтами-торговцами.)
Если вы внедряете HTTPS-iframe на странице HTTPS, вы эффективно ручаться за его содержание и взаимодействия с ним (так же, как и для любого другого контента, который вы вставляете). Пользователи могут только ожидать подтверждения вашего сертификата, а не того, что встроено. Это несет определенную ответственность.
+1
Спасибо за ваш ответ. В этом случае я торговец, и я стараюсь защитить своих клиентов от опасностей третьей стороны при заполнении формы заказа в интернет-магазине. Могут ли мои клиенты опасаться опасностей третьих лиц (хакеров)? – voscausa
Смежные вопросы
- 1. В чем опасность использования строк запроса?
- 2. В чем опасность повторного использования переменных в источнике данных?
- 3. В чем опасность gzipping всего?
- 4. В чем опасность использования Session.SyncRoot для блокировки за сеанс?
- 5. В чем опасность использования OpenID для вашего сайта?
- 6. В чем опасность работы с svn?
- 7. В чем опасность отключения поведения nagle TCP?
- 8. В чем опасность взлома сервера Apache Tomcat?
- 9. В чем опасность создания виртуального метода?
- 10. UnsafeMutablePointer <UInt8>: В чем опасность?
- 11. В чем опасность несоблюдения объявленного HTML-документа?
- 12. В чем опасность простого увеличения пула соединений?
- 13. В чем опасность использования режима совместимости IE 7 в IE 8?
- 14. В чем заключается опасность использования магических значений отладки (например, 0xDEADBEEF) в качестве литералов?
- 15. Опасность использования отражения для добавления строк подключения в ConfigurationManager.ConnectionString
- 16. В чем заключается опасность получения файлов в Silverlight?
- 17. В чем опасность небезопасного ввода пользователем текста в Django?
- 18. опасность использования свойства id для моделей Mongoose?
- 19. php strtotime(): опасность использования этой функции
- 20. Unpickling опасность
- 21. В чем опасность манипулирования байт-кодами (если есть)?
- 22. В чем опасность исключений с плавающей запятой при недопустимом вводе?
- 23. git pull --rebase vs git rebase: в чем опасность?
- 24. В чем опасность резервного копирования базы данных при ее использовании?
- 25. Есть ли опасность использования `-1L` вместо` -1` в R?
- 26. Опасность использования неавтоматизированного пользовательского ввода в заявлении оператора PHP
- 27. Опасность использования пожара и забыть в ASP.NET MVC
- 28. Опасность использования std :: sort с вектором shared_ptr в многопоточном мире
- 29. Опасность переносимости
- 30. Опасность для OTA в Debian
Это * такой же * домен? Я предполагаю, что могут возникнуть некоторые проблемы с браузером, если нет ... –
Нет, это не тот же домен – voscausa