Seguridad de iframe vs Redirección [duplicado]

2

Para una cierta funcionalidad, puedo 1. Redirigir a mi usuario a un sitio web asociado. 2. o, Abra el sitio web del socio en un iframe.

Suponiendo que el socio era malicioso y / o fácilmente pirateado, ¿cuáles son los riesgos de seguridad de usar un iframe en lugar de usar una redirección?

Hasta ahora veo que el iframe incrustado podría engañar al usuario para que haga clic en los enlaces que contiene. Sin embargo, esto puede suceder si redirigimos también. ¿Puede el socio incorporado secuestrar partes de mi sitio desde dentro del iframe? ¿Existen otros riesgos?

    
pregunta Chip 14.10.2016 - 13:08
fuente

1 respuesta

1

Debes mirar en las opciones de HTML5 Sandbox. Si bien estos no son compatibles con todos los navegadores, pueden ser útiles para restringir ciertas acciones que el atacante podría tomar, como redireccionar al usuario (reemplazar su página) en lugar de estar contenido en el iframe.

Gracias a la Política de Same Origin, JavaScript y otros complementos deben estar completamente contenidos dentro del iframe.

Obviamente, existe el riesgo de una vulnerabilidad en la configuración del usuario. Esto es más probable en un plugin que en JavaScript. Sin embargo, creo que la diferencia de riesgo es bastante pequeña cuando se compara con iframe vs redirect como se está preguntando. Yo diría que la redirección (o ventana emergente) es un poco más segura.

Idealmente, solo permites dicha redirección o iframing a tu Socio, y no a 'cualquier sitio aleatorio' . Los usuarios menos expertos en tecnología son más fáciles de engañar para que descarguen malware de sitios maliciosos difíciles. Si solo permite un conjunto selecto de sitios (es decir, solo socios como usted dice), es menos probable que guíe a los usuarios accidentalmente a tales tramposos.

@ paj28 hace un excelente comentario :

  

Con un iframe, la barra de direcciones del navegador aún muestra su sitio, por lo que si un sitio externo solicita una contraseña, los usuarios pensarán que le están diciendo la contraseña a su sitio, cuando en realidad le están diciendo al sitio externo. / p>

Esto no afecta a la función Recordar contraseña del navegador, pero @ paj28 es correcto y es posible que los usuarios no se den cuenta de la presencia de un iframe en absoluto.

Sugeriría que se vea una barra de encabezado sobre el iframe para indicar claramente que el visitante se encuentra en el sitio de otra persona y para ofrecerle una manera conveniente de regresar a la seguridad de una página en su sitio.

En cuanto a la redirección, mientras que la barra de URL mostraría el sitio de destino (a diferencia de iframe), también le otorga al sitio de destino el control total de la pantalla del sitio (no puede incluir una barra de encabezado) para que sea más fácil para para falsificar la contraseña del usuario, ya que muchos usuarios confían en las señales visuales (es decir, un encabezado y logotipo con apariencia oficial) más que la barra de URL.

Finalmente, señalaría que los sitios conocidos, antes de redirigir a un usuario, darían un breve anuncio de que podría ser peligroso. Personalmente, considero que estas notificaciones son molestas, pero puede ayudar desde un punto de vista de seguridad.

    
respondido por el George Bailey 14.10.2016 - 16:15
fuente

Lea otras preguntas en las etiquetas