it-swarm.com.de

Gibt es Sicherheitsprobleme beim Einbetten eines HTTPS-Iframes in eine HTTP-Seite?

Ich habe gesehen, dass Websites HTTPS-Iframes auf HTTP-Seiten platziert.

Gibt es Sicherheitsbedenken? Ist es sicher, private Informationen wie Kreditkartendaten in einem solchen Schema zu übertragen (wobei die Informationen nur auf dem HTTPS-Iframe-Formular und nicht auf der übergeordneten HTTP-Seite abgelegt werden)?

46
Yahel

Wenn nur der Iframe https ist, kann der Benutzer die URL, auf die er verweist, nicht trivial sehen. Daher kann die http-Quellseite so geändert werden, dass der Iframe an eine beliebige Stelle verweist. Das ist so ziemlich eine Game-Over-Sicherheitslücke, die die Vorteile von https beseitigt.

46
user502

iFrames setzt die innere HTTPS-Site in älteren Browsern zahlreichen Javascript- und Cookie-Angriffen aus und kann in neueren Browsern Probleme verursachen.

Um dies zu beheben, suchen Sie unter "Frame Busting" nach, ob iFrames verwendet werden. Betrachten Sie diese Lösung in StackOverflow:

https://stackoverflow.com/questions/958997/frame-buster-buster-buster-code-needed

In diesem Code können Sie erkennen, ob iFrames verwendet werden, und alternative Inhalte anbieten, um den Benutzer auf die richtige Site zu leiten.

18

Ein HTTPS-Iframe innerhalb einer Seite, die über HTTP bereitgestellt wird, ermöglicht es dem Benutzer nicht, sicher zu sein, dass er tatsächlich die HTTPS-Verbindung verwendet, die er erwartet sein; Daher kann der Iframe möglicherweise bei einem einfachen Angriff wie einer Iframe-Injektion entführt werden. Dies würde unter anderem das Ernten von Passwörtern ermöglichen. Ein solcher Angriff kann durch einen Trojaner, einen Virus oder einfach durch den Besuch einer schädlichen Website beginnen.

15
Paul

Ja, während die neuesten Browser die SSL-Teile ordnungsgemäß sandboxen, untergraben Sie alle Funktionen, die dem Browser hinzugefügt wurden chrome, um Benutzerfeedback zu den Inhalten zu geben. Ich würde ohne diese keine vertraulichen Informationen bereitstellen Überprüfen der in meinem Browser angezeigten URL.

7
symcbean

Zusätzlich zu den möglichen Hijacking-Szenarien, die bereits angegeben wurden, können unter IE6/7 Probleme auftreten, wenn Sie auf eine HTTP- oder HTTPS-Seite verweisen, für die eine Anmeldung erforderlich ist. Grundsätzlich erwarten die Cookies von der Iframe-Seite, dass Sie dasselbe Protokoll (HTTP oder HTTPS) verwenden. Wenn also die Seite, auf die Sie den Iframe setzen, HTTP anstelle von HTTPS verwendet, kann der Benutzer dies nicht Anmeldung.

2
Dominique

Jede http-Anfrage bedeutet zwei Dinge: Erstens können Hacker sowohl die Anfrage als auch die Antwort beschnüffeln und lesen. Zweitens können Hacker möglicherweise eine andere Website als die ursprüngliche zurückgeben.

Wenn ich also über http auf Ihre Website zugreife und einen https-Link zurückerhalte, erfahren Hacker möglicherweise etwas über diesen https-Link, aber insgesamt ist er nicht weniger sicher als ein http-Link.

Es gibt jedoch überhaupt keine Garantie dafür, dass ich Ihre Website erhalten habe und keine, die von einem Hacker bereitgestellt wurde. Damit der https-Frame möglicherweise nicht einmal auf der richtigen Site vorhanden ist, sondern nur auf der gehackten. Und es gibt überhaupt keine Garantie, wohin es zeigt, daher überhaupt keine Sicherheit.

Sobald Sie mit http beginnen, ist das Spiel aus Sicherheitsgründen beendet.

0
gnasher729