¿Es una práctica categóricamente mala publicar anuncios agregados de terceros en una página de pago donde se ingresa información confidencial?
Esto me envía todo tipo de alarmas, pero me ha costado mucho convencer a los rangos superiores de que se debe hacer algo. ¿Alguien puede proporcionar algunas fuentes acreditadas que expliquen esto bien, o tal vez decirme que me relaje?
Si los anuncios de terceros se incorporan como marcos a modo de ejemplo, se pueden usar para ataques sociales y para la IU, es decir, simular advertencias, botones, campos de entrada para tarjetas de crédito o similares para engañar al usuario. Pero con iframes no se puede utilizar para robar datos de usuario de la página original. Si, en cambio, los anuncios están incrustados como Javascript, es aún peor, ya que de esta manera el código de los anuncios tiene acceso completo a su sitio y puede leer y manipular la página, que incluye la lectura de los datos ingresados por el usuario.
Este problema no solo está restringido a la página de pago y también a los anuncios, sino que también es relevante cuando se incluyen bibliotecas de JavaScript de terceros en su sitio y, por lo tanto, afecta también a los botones de redes sociales o similares. Si incluye una secuencia de comandos de terceros en una página, el tercero puede obtener el control total de esta página, lo que provocará acciones con la identidad del usuario que haya iniciado sesión actualmente.
Lea otras preguntas en las etiquetas credit-card defense xss