Tengo una pregunta acerca de dar información de tarjeta de crédito en un sitio web no seguro, con un sitio aparentemente seguro. ¿Es esto realmente seguro? Leí en otra pregunta respondida en el foro para buscar el código fuente y buscar "Form Action=", pero no hay nada de eso en la página de origen. No HTTPS en el formulario de entrada de tarjeta de crédito - ¿Puede ser seguro?
Aquí está el sitio web: enlace
¡Gracias por tus respuestas!
Si bien la página en sí no está cargada a través de HTTP, la visualización del orden es un Iframe que se carga a través de HTTP, pero se publica en una página HTTPS.
MientrasqueelformulariosepublicaenunapáginaHTTPS,elmarcocargadoensíesHTTP.
Estoesinsegurodebidoalhechodequeelcontenidodeliframenotieneintegridad.LapáginaensípodríasermodificadaporunMITMparapublicarelformularioenunserviciodeshonesto.Siinspeccionaelformulario,puedeverqueestáenviandoelpagoa"spreedly", que en la búsqueda es un procesador de tarjetas de crédito.
Sin embargo, hay un controlador de clic y un controlador de envío para los formularios.
EstoscontroladorestienenlacapacidaddesecuestraresaURLycambiarlajustoantesdequesepublique.Creandootravíaparaquelainformacióndesutarjetasearobada.
Elformulariodepedidoensíestáalojadoenotrositio,
No ordene a través de ellos. Si desea quejarse con ellos, vaya aquí enlace
Tal como está diseñado, el formulario se envía a un sitio HTTPS. Esto significa si el sitio funciona como se diseñó, entonces la información de su tarjeta de crédito se mantiene segura.
El problema radica en el hecho de que, dado que esta página es no segura, si tiene un malintencionado en el medio, como una red inalámbrica no confiable, esta página no es no a salvo de manipulación, y podría modificarse para que la información de su tarjeta de crédito no se envíe a través de una conexión segura, o incluso no se envíe al restaurante, sino a el atacante en su lugar.
Todo el proceso de pedido debe estar protegido por TLS. No solo la página de aceptación de pago.
No entregue su tarjeta de crédito u otra información de pago en una página que no esté cifrada con SSL, es decir, HTTPS. SSL / TLS es un cifrado de extremo a extremo entre su navegador y el servidor web, de modo que nadie en el medio puede ver los datos confidenciales (número de tarjeta de crédito en este caso).
Es difícil creer que una empresa hoy solicite información de pago a través de una página de HTTP no segura. Aunque dicen que la parte de pago es "segura", no lo parece y pediría mi comida en otro sitio web. Un ataque MiTM implementado por alguien en su LAN local, usando herramientas como Wireshark, terminará revelando la información de su tarjeta de crédito en texto simple.
Para comprender mejor el problema, consulte la respuesta a una pregunta similar aquí sobre cómo determinar si su conexión es insegura: No HTTPS en el formulario de ingreso de tarjeta de crédito, ¿puede ser seguro?
Lea otras preguntas en las etiquetas web-application encryption tls