Riesgos de usar una página web sin SSL / TLS para donaciones

Navega tus respuestas
3

Hay un sitio llamado www.mysite.com . Utiliza Qgiv para tomar donaciones y tiene algunos atributos de datos HTML5 como: 

 <div class="qgiv-embed-container visible-lg-block" > data-qgiv-embed="true" data-embed-id="1" data-embed="https://secure.qgiv.com/" ></div>

donde se recopila la información de pago (detalles de la tarjeta).

No hay SSL / TLS para www.mysite.com y confía en Qgiv para recopilar información de pago.

  1. ¿Este sitio donde puedo ingresar información de pago para donar es seguro? Sé que Qgiv tiene un certificado seguro, pero no he donado en el pasado a un sitio que no usa SSL que utiliza atributos de datos para incrustar información de Qgiv. La organización solía usar Paypal, pero ahora se ha cambiado a Qgiv.

  2. La organización que administra el sitio está abierta a los comentarios de los donantes, pero se les debe explicar claramente por qué su configuración actual puede no ser compatible con los estándares de PCI.

pregunta Chris H 04.04.2016 - 03:00
fuente

2 respuestas

2

Si no hay HTTPS en las páginas que redireccionan a Qgiv, un Man-In-The-Middle podría interceptar la página de redirección y reemplazar la redirección a Qgiv con una redirección al sitio del atacante.

El sitio del atacante puede usar HTTPS y capturará los detalles de la tarjeta ya que el usuario no sabrá si el sitio es la pasarela de pago legítima o no.

Por supuesto, el atacante deberá ubicarse adecuadamente, por ejemplo. en una cafetería en una red inalámbrica insegura. Se recomienda utilizar HTTPS en todo el sitio para evitar esto, en combinación con una política de HSTS.

    
respondido por el SilverlightFox 04.04.2016 - 11:41
fuente
1

Primero que nada, SSL y TLS son protocolos criptográficos diseñados para proporcionar seguridad de comunicaciones a través de una red de computadoras.

Para su caso:

Si el sitio web no tiene SSL / TLS (recomiendo TLS), todos los datos enviados a ese sitio web específico están en texto sin formato.

Si el sitio web no tiene SSL / TLS pero el formulario de pago está incrustado en ese sitio web específico y ese formulario usa TLS / SSL, entonces: ¡El formulario es seguro pero acepta datos de sitios web no seguros! Esto significa que si estoy en la misma red y realizo un ataque MITM puedo obtener sus datos y el único problema es que agrego 3 líneas más de comandos :)

Si el sitio web no tiene SSL / TLS pero el formulario de pago está en una página segura (como si abriera una nueva página) todo está bien.

Bonificación: si puede enmarcar el sitio web, todos los dioses de SSL / TLS se van a dormir y SOLAMENTE si puede enviar enlaces falsos y puede engañar a las personas para que piensen que el sitio web es real.

    
respondido por el Lucian Nitescu 04.04.2016 - 08:38
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son los riesgos de seguridad al importar y procesar una hoja de cálculo de Excel de un usuario no confiable? ¿Cómo almacena KEEPASS imágenes, videos y documentos / artículos adjuntos? [duplicar]