¿Debo preocuparme por la advertencia anti-XSS de NoScripts al realizar un pago seguro 3D?

4

Cuando realizo un pago en línea usando 3DSecure (Verified by Visa o Mastercard Securecode), NoScript me informa que tiene detuvo un script potencialmente inseguro donde el sitio A (el banco o la compañía de tarjetas de crédito) intenta ejecutar un script con el destino en el sitio B (el comerciante) usando Scripting entre sitios (XSS).

NoScript me dice Puedo incluir en la lista blanca del sitio de destino (el comerciante) si estoy muy seguro de la página web de destino es inmune a las vulnerabilidades de XSS . Aunque estoy bastante seguro de que el sitio de origen es seguro, confío menos en el sitio de destino. De todos modos, he agregado el comerciante a la lista blanca, porque necesitaba reservar un boleto de tren. Como cliente, ¿a qué riesgos estoy expuesto al agregar el comerciante a la lista blanca? ¿Alguien puede robar los datos de mi tarjeta de crédito?

    
pregunta gerrit 01.02.2016 - 15:56
fuente

2 respuestas

2

3D Secure es un sistema de prevención de fraudes:

  

Protocolo 3D seguro basado en XML diseñado para ser una capa de seguridad adicional para transacciones en línea de tarjetas de crédito y débito. Originalmente, fue desarrollado por Arcot Systems, Inc. y fue implementado por primera vez por Visa con la intención de mejorar la seguridad de los pagos por Internet y se ofrece a los clientes con el nombre Verified by Visa.

Y tu preocupación:

  

NoScript me informa que ha detenido un script potencialmente inseguro

Es muy probable que no sea un ataque real de XSS.

Este "redireccionamiento XSS" ocurre porque la página de pago en el sitio web en cuestión lo redirige a una pasarela de pago . Es una redirección, sí, y podría usarse para atacarte sí, but !

  1. Debes buscar el candado verde en tu barra de URL en el sitio web que estás comprando. Si no hay un candado verde, ni siquiera ingrese sus datos.
  2. Cuando envía el pago, puede ver dónde le está redirigiendo, ya que NoScript le da una advertencia. ¿Has verificado que la URL pertenece a 3DSecure?
    • A menos que el atacante tenga acceso a su máquina y pueda modificar el complemento de NoScript para informar la URL incorrecta, debería estar bien. Sin embargo, si un atacante tiene acceso a su máquina, hay cosas más importantes de las que debe preocuparse.

Tenga en cuenta que, en muchos casos, ignorar el redireccionamiento XSS (negándose a "Recarga no segura") todavía permite que el pago se realice por mí. No sé si este es el caso en el sitio web que está visitando.

Riesgos potenciales

  

Como cliente, ¿a qué riesgos estoy expuesto al agregar el comerciante a la lista blanca? ¿Alguien puede robar los datos de mi tarjeta de crédito?

Realmente se trata de la seguridad de cada sitio.

Si usa https y los certificados se emiten correctamente, es muy poco probable que se produzca un ataque de hombre en el medio.

Estos certificados https validarán que estás en el sitio web correcto al cifrar tu conexión a / fro. Sin embargo, sus datos solo son tan seguros como los sitios web ambos que los manejan. Si hay una vulnerabilidad en cualquiera de los dos sitios web, incluso si los certificados son válidos, podría ser posible que sus datos sean robados.

Es definitivamente posible que un sitio web sea hackeado, y que los datos se recopilen en el interior y luego se acceda a ellos. Sin embargo, la mayoría de las compañías de tarjetas de crédito prometen cero responsabilidad por fraude. ¿El tuyo? Si bien esto no evitará que su información personal salga a la luz, al menos ofrece alguna mitigación en caso de una violación.

¿Debo preocuparme por la advertencia anti-XSS de NoScript?

Depende . ¿Todo sale bien? ¿Candados verdes en tu barra de URL? En general, no hay necesidad de preocuparse. Sin embargo, , si alguno de los sitios web en cuestión está violado, entonces no ... no puede confiar en el sitio web tampoco en ese momento.

    
respondido por el Mark Buffalo 12.02.2016 - 15:44
fuente
1

No creo que esto pueda responderse en un sentido general, probablemente sea más un comentario, pero es demasiado largo para que encaje como tal. Depende demasiado de la configuración del comerciante, el banco y la relación entre ellos.

Por ejemplo, si el comerciante almacena su número de tarjeta de crédito cuando realiza una compra y tiene una vulnerabilidad XSS que le permite a un atacante leer datos de la página donde confirma su número de CVV, es obvio que un atacante podría obtener su número de CVV. . Sin embargo, si el comerciante es compatible con PCI (que debería serlo), el atacante no debería poder obtener su número de tarjeta de crédito de esta misma vulnerabilidad; el comerciante nunca debe mostrar el número completo de la tarjeta. Sin embargo, si tuvieran una vulnerabilidad XSS que les permitiera monitorear los datos ingresados en la pantalla de entrada de la tarjeta, podrían robar su número de tarjeta, incluso si no se almacena por más tiempo en el sitio.

3DSecure realmente no cambia eso, pero agrega una capa de verificación que el banco puede usar para decir "mire, alguien ingresó las letras de su contraseña de 3DSecure, que solo usted sabe, por lo tanto, debe haber sido usted". De alguna manera, esto en realidad causa más problemas: si un atacante puede encontrar una vulnerabilidad en el sistema de pago del comerciante que hace que aparezca una ventana falsa 3DSecure, podrían hacer que ingrese letras de su contraseña de una manera que sea difícil para un usuario ocasional para detectar (iframes no tienen barras de URL ...). Es importante destacar que 3DSecure no se trata de seguridad informática. Se trata de fraude.

    
respondido por el Matthew 12.02.2016 - 15:53
fuente

Lea otras preguntas en las etiquetas