¿Es seguro un pago modal a través de HTTPS si la página principal es solo HTTP?

Navega tus respuestas
4

Recientemente intenté actualizar la información de mi tarjeta de crédito en un sitio que se sirve a través de HTTP. Incluso después de iniciar sesión, el sitio permanece en HTTP!

Me di cuenta de que Chrome no me permitiría usar las tarjetas de crédito guardadas por este motivo.

Al ponerse en contacto con la empresa, respondieron que la ventana de pago en sí está alojada en el proveedor de pagos y que funciona como un modo a través de HTTPS.

Simplemente no puedo ver cómo esto es seguro, porque cualquiera podría realizar fácilmente un ataque de hombre en el medio y reemplazar el modal con su propia forma y recuperar la información de la tarjeta.

Luego me puse en contacto con el proveedor de pagos, pero tampoco tuvieron problemas para aceptar las direcciones del remitente HTTP y de devolución de llamada desde su página de pago. Aparecí vacío al analizar los requisitos de cumplimiento de PCI, porque no describen los requisitos para las soluciones alojadas, como en este escenario.

EDITAR: Hice esta captura de pantalla para agregar algo de claridad al escenario: Demostración del hombre en el medio

Las claves se registran en el formulario de inicio de sesión y la tarjeta de crédito "segura" se reemplaza por una imagen la segunda vez que se carga.

    
pregunta 08.12.2016 - 16:57
fuente

3 respuestas

3

No hay una "ventana modal"; hay contenido que podría estar destinado a contener un iframe que apunta a una URL segura, pero como se invoca desde JavaScript y HTML inseguros, es vulnerable a modificaciones. Y como iframe, el usuario no puede ver todos los metadatos que se muestran en el navegador Chrome cuando navega a una URL segura.

No solo esto es inseguro, es visiblemente inseguro.

    
respondido por el symcbean 12.12.2016 - 21:27
fuente
0

No, esto no es seguro por dos razones:

  1. La página principal podría ser interceptada e inyectarse un código JavaScript malicioso que roba los datos que ingresa en el formulario de pago.
  2. La página principal podría ser interceptada y el código que abre el formulario de pago podría modificarse para cargar un formulario de pago falso de otra fuente.

Tenga en cuenta que el segundo punto también se aplica a páginas de pago separadas que están vinculadas desde una página que se carga a través de HTTP, en cuyo caso es posible cambiar el enlace a una página falsa. Aunque en ese caso, puede ver la URL de la página de pago y verificar si es segura y legítima (por eso es importante verificar siempre la URL de la página donde está ingresando su información de pago). En el caso de algo como lo que describe, no puede ver la URL del formulario de pago, por lo que podría cargarse desde una URL maliciosa y ni siquiera sabría de dónde viene.

    
respondido por el Micheal Johnson 18.11.2017 - 19:19
fuente
-1

El uso de un diálogo modal HTTPS puede ser seguro siempre que:

  1. El formulario de actualización de la tarjeta en el que ingresa el número de su tarjeta de crédito y el CVC se encuentra en el sitio del proveedor de pagos
  2. La página de pago muestra el nombre del comerciante, la cantidad de pago y, posiblemente, la compra detallada y está alojada en el sitio del proveedor de pagos
  3. La barra de URL del navegador de las páginas del procesador de pagos está visible y muestra HTTPS con una barra de EV verde
  4. El usuario comprueba la barra verde de EV en las páginas del procesador de pagos
  5. El usuario confía en el procesador de pagos cuya identidad se muestra en la barra verde de EV

Si se cumplen todas estas condiciones, entonces no importa la seguridad de la tarjeta de crédito si el sitio web del carrito de la compra del comerciante no está encriptado. Sin embargo, aún puede haber otros problemas de seguridad, como la privacidad de los artículos comprados, pero creo que está fuera del alcance de esta pregunta.

    
respondido por el Lie Ryan 12.12.2016 - 14:56
fuente

Lea otras preguntas en las etiquetas

¿La entrada predecible (como los encabezados de bcrypt) amenaza la encriptación basada en contraseña? Método apropiado de anuncios / seguimiento de bloque en el servidor VPN para clientes