在 iframe 中使用 https 如何保证安全?
How can using https in an iframe be secure?
我发现了一个通过 aspx 提供其页面的医疗服务提供商网站。此提供程序在同一个 aspx 页面中有新的客户端表单。我联系了构建网站的供应商,询问他们为什么不使用 https。他们向我保证他们在 iframe 中使用 https 加密。
我的问题:这个回复完全是废话吗?
在我看来,入侵该网站的一种非常简单的方法是使用我自己的重定向到我的 aspx 页面来欺骗该网站。没有 https,浏览器就不知道安全性,所以没有人能够判断它们是在我的网站上还是在实际的网站上。
这是传输的所有受 HIPAA 保护的信息(在美国),因此有关于如何保护这些信息的法律。承包商似乎很疏忽,但也许我遗漏了什么。
仅供参考,我不是故意发布网站的,因为我不想邀请黑客入侵我认为不安全的东西。
在不知道 iframe 是如何使用的情况下,很难评估网站可能存在的安全问题。
但听起来他们可能会在不安全的表单上收集新客户信息,然后 post将它们发送到 https 端点。正如 Troy Hunt 在 this article 中解释的那样,这不是一种安全的做法。
很明显,正如您已经提到的,如果没有 https,中间人攻击很容易 post 将完整的表单发送到攻击者站点,而用户不知道其完整性 and/or不保证页面的来源。
即使他们通过 https 在 iframe 中提供表单,如果包含页面通过 http 提供,则 iframe 可以被 MiM 攻击替换。
我发现了一个通过 aspx 提供其页面的医疗服务提供商网站。此提供程序在同一个 aspx 页面中有新的客户端表单。我联系了构建网站的供应商,询问他们为什么不使用 https。他们向我保证他们在 iframe 中使用 https 加密。
我的问题:这个回复完全是废话吗?
在我看来,入侵该网站的一种非常简单的方法是使用我自己的重定向到我的 aspx 页面来欺骗该网站。没有 https,浏览器就不知道安全性,所以没有人能够判断它们是在我的网站上还是在实际的网站上。
这是传输的所有受 HIPAA 保护的信息(在美国),因此有关于如何保护这些信息的法律。承包商似乎很疏忽,但也许我遗漏了什么。
仅供参考,我不是故意发布网站的,因为我不想邀请黑客入侵我认为不安全的东西。
在不知道 iframe 是如何使用的情况下,很难评估网站可能存在的安全问题。
但听起来他们可能会在不安全的表单上收集新客户信息,然后 post将它们发送到 https 端点。正如 Troy Hunt 在 this article 中解释的那样,这不是一种安全的做法。
很明显,正如您已经提到的,如果没有 https,中间人攻击很容易 post 将完整的表单发送到攻击者站点,而用户不知道其完整性 and/or不保证页面的来源。
即使他们通过 https 在 iframe 中提供表单,如果包含页面通过 http 提供,则 iframe 可以被 MiM 攻击替换。