3D Secure es un sistema de prevención de fraudes:
Protocolo 3D seguro basado en XML diseñado para ser una capa de seguridad adicional para transacciones en línea de tarjetas de crédito y débito. Originalmente, fue desarrollado por Arcot Systems, Inc. y fue implementado por primera vez por Visa con la intención de mejorar la seguridad de los pagos por Internet y se ofrece a los clientes con el nombre Verified by Visa.
Y tu preocupación:
NoScript me informa que ha detenido un script potencialmente inseguro
Es muy probable que no sea un ataque real de XSS.
Este "redireccionamiento XSS" ocurre porque la página de pago en el sitio web en cuestión lo redirige a una pasarela de pago . Es una redirección, sí, y podría usarse para atacarte sí, but !
- Debes buscar el candado verde en tu barra de URL en el sitio web que estás comprando. Si no hay un candado verde, ni siquiera ingrese sus datos.
- Cuando envía el pago, puede ver dónde le está redirigiendo, ya que NoScript le da una advertencia. ¿Has verificado que la URL pertenece a 3DSecure?
- A menos que el atacante tenga acceso a su máquina y pueda modificar el complemento de NoScript para informar la URL incorrecta, debería estar bien. Sin embargo, si un atacante tiene acceso a su máquina, hay cosas más importantes de las que debe preocuparse.
Tenga en cuenta que, en muchos casos, ignorar el redireccionamiento XSS (negándose a "Recarga no segura") todavía permite que el pago se realice por mí. No sé si este es el caso en el sitio web que está visitando.
Riesgos potenciales
Como cliente, ¿a qué riesgos estoy expuesto al agregar el comerciante a la lista blanca? ¿Alguien puede robar los datos de mi tarjeta de crédito?
Realmente se trata de la seguridad de cada sitio.
Si usa https y los certificados se emiten correctamente, es muy poco probable que se produzca un ataque de hombre en el medio.
Estos certificados https validarán que estás en el sitio web correcto al cifrar tu conexión a / fro. Sin embargo, sus datos solo son tan seguros como los sitios web ambos que los manejan. Si hay una vulnerabilidad en cualquiera de los dos sitios web, incluso si los certificados son válidos, podría ser posible que sus datos sean robados.
Es definitivamente posible que un sitio web sea hackeado, y que los datos se recopilen en el interior y luego se acceda a ellos. Sin embargo, la mayoría de las compañías de tarjetas de crédito prometen cero responsabilidad por fraude. ¿El tuyo? Si bien esto no evitará que su información personal salga a la luz, al menos ofrece alguna mitigación en caso de una violación.
¿Debo preocuparme por la advertencia anti-XSS de NoScript?
Depende . ¿Todo sale bien? ¿Candados verdes en tu barra de URL? En general, no hay necesidad de preocuparse. Sin embargo, , si alguno de los sitios web en cuestión está violado, entonces no ... no puede confiar en el sitio web tampoco en ese momento.