it-swarm-tr.com

Bir HTTPS iframe'ini bir HTTP sayfasına gömmekle ilgili güvenlik sorunları var mı?

Gördüm web siteleri HTTP sayfalarına HTTPS iframe'leri yerleştiriyorum.

Bununla ilgili herhangi bir güvenlik sorunu var mı? Kredi kartı bilgileri gibi özel bilgileri böyle bir şemada (bilgilerin HTTP üst sayfasında değil, yalnızca HTTPS iframe formuna yerleştirildiği) iletmek güvenli midir?

46
Yahel

Yalnızca iframe https ise, kullanıcı işaret ettiği URL'yi önemsiz bir şekilde göremez. Bu nedenle, kaynak http sayfası, iframe'i istediği yere işaret edecek şekilde değiştirilebilir. Bu, https'nin avantajlarını ortadan kaldıran bir oyun güvenlik açığıdır.

46
user502

iFrames, dahili HTTPS sitesini eski tarayıcılarda çok sayıda javascript ve çerez saldırısına maruz bırakacak ve daha yeni tarayıcılarda sorunlara neden olabilir.

Bunu düzeltmek için, iFrames kullanılıp kullanılmadığını tespit etmek için "Frame Busting" e bakın. StackOverflow'da şu çözümü düşünün:

https://stackoverflow.com/questions/958997/frame-buster-buster-buster-code-needed

Bu kodda, iFrame'lerin kullanılıp kullanılmadığını tespit edebilir ve kullanıcıyı uygun siteye yönlendirmek için alternatif içerik sunabilirsiniz.

18

HTTP üzerinden sunulan bir sayfadaki HTTPS iframe, kullanıcının aslında beklediği olmasını istediği HTTPS bağlantısını kullandıklarından emin olmasına izin vermez ; bu nedenle, bu iframe'in iframe enjeksiyonu gibi basit bir saldırıda ele geçirilmesine izin verir. Bu, diğer şeylerin yanı sıra şifre toplamaya izin verir. Böyle bir saldırı bir Truva atı, virüs veya kötü amaçlı bir web sitesini ziyaret ederek başlayabilir.

15
Paul

Evet, en son tarayıcılar SSL bölümlerini düzgün bir şekilde korumalı hale getirirken, içeriklerle ilgili kullanıcı geri bildirimi sağlamak için tarayıcıya chrome) eklenen tüm işlevleri zayıflatıyorsunuz. tarayıcımda gösterilen URL'yi kontrol ediyorum.

7
symcbean

Zaten verilen olası kaçırma senaryolarına ek olarak, oturum açma gerektiren bir HTTP veya HTTPS sayfasına yönlendirirseniz IE6/7 ile ilgili sorunlarla karşılaşabilirsiniz. Temel olarak, iframe'in sayfasındaki çerezler sizden aynı protokolü (HTTP veya HTTPS) kullanmanızı bekler ve bu nedenle iframe'i yerleştirdiğiniz sayfa HTTPS yerine HTTP kullanıyorsa, kullanıcının oturum aç.

2
Dominique

Herhangi bir http isteği iki anlama gelir: Birincisi, bilgisayar korsanları hem isteği hem de yanıtı okuyup okuyor olabilir. İkinci olarak, bilgisayar korsanları orijinal web sitesinden farklı bir web sitesi döndürebilir.

Web sitenize http yoluyla erişir ve bir https bağlantısı geri alırsam, bilgisayar korsanları bu https bağlantısı hakkında bilgi edinebilir, ancak sonuçta bir http bağlantısından daha az güvenli değildir.

Ancak, sizin web sitesi aldığım ve hiçbir bilgisayar korsanı tarafından sağlanan bir garanti yoktur. Böylece https çerçevesi doğru sitede bulunmayabilir, sadece saldırıya uğramış olan çerçevede olabilir. Ve işaret ettiği yerde hiçbir garanti yoktur, bu nedenle hiçbir güvenlik yoktur.

Http ile başladıktan sonra, güvenlik söz konusu olduğunda, oyun biter.

0
gnasher729