Los campos de entrada que no tienen nombre="" se envían a través del navegador
No por el proceso estándar de envío de formularios HTML. Sin embargo, JavaScript en el lado del cliente puede leer el contenido de los campos y enviar los datos ellos mismos.
¿Los campos de entrada que no tienen atributos de nombre son susceptibles de ataques MITM (sin SSL) o cualquier otro ataque?
Sí. Todo el contenido de una página que no está protegida por SSL es susceptible de ataques MitM.
Incluso si stripe.js está leyendo el número de la tarjeta de crédito y enviándolo a los servidores de Stripe de forma segura, no hay forma de saber que el resto de su página no fue manipulado por un ataque de MitM activo en el momento de la carga. Por ejemplo, se podría haber inyectado un fragmento de JavaScript en la página que escucha las pulsaciones de teclas y envía el número de la tarjeta de crédito al atacante por separado.
Este tipo de cosas es la razón por la cual el consejo para los usuarios es verificar que SSL esté habilitado en el nivel de la página, y por qué PCI-DSS requiere que las páginas web en las que se invita al usuario a escribir una contraseña se muestren como SSL. protegido en la interfaz de usuario del navegador.
Entiendo que SSL sería una buena idea pero sería necesario?
Sí. En cualquier caso, Stripe lo requiere para hacer eso .
- Servir su página de pago a través de SSL, es decir, la dirección web de la página debe comenzar con https, no http.