Formulario de inicio de sesión seguro desde un sitio no seguro

1

Tenemos dos sitios, app.company.com y www.company.com. En este momento, los usuarios están entrenados solo para ingresar sus credenciales de inicio de sesión en app.company.com. Ambos sitios utilizan SSL. App.company.com utiliza CSRF y nosotros buscamos activamente las vulnerabilidades de seguridad. www.company.com, alojado en una empresa de alojamiento independiente, no se trata con el mismo nivel de atención porque no hay datos de clientes.

Ahora, nos gustaría poder presentar un formulario de inicio de sesión en www.company.com que se envía a app.company.com, de modo que el formulario de inicio de sesión se puede personalizar más fácilmente; colores cambiados, gráficos insertados, ese tipo de cosas. Pero nos gustaría hacer esto de forma segura. No puedo ver de inmediato una forma segura de hacerlo.

Lo más cercano que puedo pensar es tener un IFRAME, pero incluso eso parece ser vulnerable al clickjacking. Además, si www.company.com estuviera comprometido, no habría nada que les impidiera simplemente reemplazar el IFRAME con un formulario regular y capturar el contenido del formulario.

Por lo tanto, mi pregunta es la siguiente. ¿Hay alguna manera de permitir a los usuarios enviar su nombre de usuario y contraseña desde un sitio no seguro sin comprometer la seguridad?

    
pregunta ChrisInEdmonton 14.04.2016 - 21:52
fuente

1 respuesta

3
  

¿Hay alguna forma de permitir a los usuarios enviar su nombre de usuario y contraseña desde un sitio inseguro sin comprometer la seguridad?

No. Como te diste cuenta en tu pregunta, el sitio podría verse comprometido y todo reemplazado. Y esto podría hacerse de una manera que el usuario no tenga conocimiento de esto.

Capacitar a los usuarios para que confíen en un sitio tan inseguro es una mala idea, ya que no solo se pueden tomar las credenciales de inicio de sesión, sino también la confianza en este sitio en ataques sociales. Por ejemplo, el sitio puede afirmar que se necesita una actualización del complemento o del navegador para continuar y, por lo tanto, hacer que el usuario instale malware.

    
respondido por el Steffen Ullrich 14.04.2016 - 22:08
fuente

Lea otras preguntas en las etiquetas