Iba a realizar una compra en un sitio web, pero la página que contiene el formulario de ingreso a la tarjeta de crédito se entrega a través de HTTP y no de HTTPS. ¿Es definitivamente inseguro?
El sitio web anuncia el uso de "RapidSSL", pero si envío mi número de tarjeta de crédito a través de HTTP, esta conexión SSL no se utilizará. ¿Presionar Siguiente en esta página es un problema de seguridad?
Lo verifiqué ahora: los detalles de CC realmente se envían SIN INSCRIBIR por el cable. No utilizan SSL en absoluto. Ni siquiera en POST. Los detalles de la tarjeta de crédito se envían realmente a través del correo electrónico. El botón RapidSSL es incluso falso, porque no muestra una validación cuando se hace clic (lo que deberían hacer los botones RapidSSL reales)
También lo comprobé. Tienen un sitio SSL con certificado real y Everything, pero deshabilitan específicamente SSL al redirigir a HTTP cuando intentan cargar el espacio de nombres / secure a través de HTTPS. Realmente debería ser lo contrario, donde HTTP redirige a HTTPS.
Yo diría que puede estar seguro de enviar un número CC allí, y eso es solo en este caso específico: Si está 100% seguro de que su GUÍA COMPLETA, desde su computadora hasta el servidor de esa compañía, es completamente confiable, entonces puede enviar el CC allí. Eso incluye confiar en su ISP, su propietario y cada enrutador y dispositivo en la ruta a la Compañía en cuestión.
Cómo comprobarse:
Comprueba la fuente de la página. Si el formulario de la tarjeta de crédito "form action=" parámetro apunta a un sitio HTTPS, está cifrado.
Si el parámetro "form action=" está vacío o contiene un valor no válido, es probable que el CC se envíe a través de un script AJAX y, por lo tanto, tenga que hurgar en toneladas de código JS para averiguar si los CC se envían cifrados o no. .
Sin embargo, el envío a un sitio HTTPS desde un sitio HTTP NO ES 100% SEGURO. Es posible que la página en cuestión haya sido modificada en tránsito por un individuo malintencionado para enviar los detalles al servidor de un atacante o mediante una conexión HTTP para poder rastrear los datos.
Sin embargo, los ataques MITM / modificadores son raros, si está en casa en su Conexión doméstica y NO se sienta en una red inalámbrica, es bastante difícil ubicarse en una posición adecuada para poder modificar los datos en tránsito.
Yo diría:
Siempre que el formulario se envíe a un recurso HTTPS ( form action=https://blaahblaahblaah ), puede estar SUFICIENTE seguro de que la tarjeta de crédito no se está filtrando.
Si asumimos que solo hay Listas PASIVAS, no hay adversarios Activos en la red, entonces su número de tarjeta de crédito es 100% seguro si el formulario se envía a través de HTTPS. Sin embargo, esto NO está en el caso aquí, por lo que realmente debería confiar en el enlace Antes de enviar algo allí. Ni siquiera su conexión doméstica puede ser completamente segura al 100% para enviar los datos de CC allí, si cuenta con la seguridad física de CADA nodo en la ruta.
Bajo ninguna circunstancia es seguro enviar un número de tarjeta de crédito a través de una conexión que no está protegida. Hay dos razones. La primera es que no puede saber si la ruta entre usted y el servidor es segura; la ruta puede cambiar de un día a otro e incluso de minuto a minuto.
La razón más importante es que el comerciante que no asegura sus transacciones web puede tener otros malos hábitos. No quiero decir que sean deshonestos; solo que o bien no entienden la seguridad o no les importa. No estoy seguro de que es peor! Por lo tanto, es muy posible que haya otros problemas de los que aún no esté al tanto.
Si debe comprar algo en este sitio, verifique si la compañía de su tarjeta de crédito ofrece números de uso único o retire una tarjeta prepaga con la cantidad suficiente para completar la transacción. (Nota: a veces es difícil gastar los últimos dólares en una tarjeta prepaga. Además, puede ser más difícil disputar un cargo en una tarjeta prepaga. El número de One-shot es el camino a seguir si es posible)
Lea otras preguntas en las etiquetas credit-card encryption tls