it-swarm-es.com

¿Existen problemas de seguridad al incrustar un iframe HTTPS en una página HTTP?

He visto sitios web colocando iframes HTTPS en páginas HTTP.

¿Hay problemas de seguridad con esto? ¿Es seguro transmitir información privada como los detalles de la tarjeta de crédito en dicho esquema (donde la información solo se coloca en el formulario de marco flotante HTTPS y no en la página principal HTTP)?

46
Yahel

Si solo el iframe es https, el usuario no puede ver trivialmente la URL a la que apunta. Por lo tanto, la página http de origen podría modificarse para apuntar el iframe a donde quisiera. Eso es más o menos una vulnerabilidad de juego terminado que elimina las ventajas de https.

46
user502

iFrames expondrá el sitio HTTPS interno a numerosos ataques de JavaScript y cookies en navegadores antiguos, y puede causar problemas en los navegadores más nuevos.

Para solucionar esto, busque "Frame Busting" para detectar si se están utilizando iFrames. Considere esta solución en StackOverflow:

https://stackoverflow.com/questions/958997/frame-buster-buster-buster-code-needed

En ese código, puede detectar si se están utilizando iFrames y ofrecer contenido alternativo para dirigir al usuario al sitio adecuado.

18
goodguys_activate

Un iframe HTTPS dentro de una página servida a través de HTTP no permitirá al usuario asegurarse de que realmente está utilizando la conexión HTTPS que ellos esperan para ser; por lo tanto, esto potencialmente permite que el iframe sea secuestrado en un ataque simple como una inyección de iframe. Esto permitiría la recolección de contraseñas, entre otras cosas. Tal ataque podría comenzar a través de un troyano, un virus o simplemente visitando un sitio web malicioso.

15
Paul

Sí, mientras que los navegadores más recientes pondrán en una caja de arena las partes SSL correctamente, está socavando toda la funcionalidad agregada al navegador chrome para proporcionar comentarios de los usuarios con respecto al contenido. Por mi parte, no proporcionaría ninguna información confidencial sin comprobando la URL que se muestra en mi navegador.

7
symcbean

Además de los posibles escenarios de secuestro ya dados, puede encontrarse con problemas en IE6/7 si señala una página HTTP o HTTPS que requiere inicio de sesión. Básicamente, las cookies de la página del iframe esperan que esté utilizando el mismo protocolo (HTTP o HTTPS) y, por lo tanto, si la página en la que está instalando el iframe está utilizando HTTP en lugar de HTTPS, evitaría que el usuario pueda iniciar sesión.

2
Dominique

Cualquier solicitud http significa dos cosas: una, los piratas informáticos podrían estar husmeando y leyendo tanto la solicitud como la respuesta. Dos, los piratas informáticos pueden devolver un sitio web diferente del original.

Entonces, si accedo a su sitio web a través de http y recibo un enlace https, los piratas informáticos pueden aprender sobre ese enlace https, pero en general no es menos seguro que un enlace http.

Sin embargo, no hay ninguna garantía de que haya recibido s sitio web y ninguno proporcionado por un hacker. De modo que el marco https podría no estar presente en el sitio correcto, solo en el sitio pirateado. Y no hay ninguna garantía en absoluto hacia dónde apunta, por lo tanto, no hay seguridad en absoluto.

Una vez que comience con http, en lo que respecta a la seguridad, se acabó el juego.

0
gnasher729