Tenemos dos sitios, app.company.com y www.company.com. En este momento, los usuarios están entrenados solo para ingresar sus credenciales de inicio de sesión en app.company.com. Ambos sitios utilizan SSL. App.company.com utiliza CSRF y nosotros buscamos activamente las vulnerabilidades de seguridad. www.company.com, alojado en una empresa de alojamiento independiente, no se trata con el mismo nivel de atención porque no hay datos de clientes.
Ahora, nos gustaría poder presentar un formulario de inicio de sesión en www.company.com que se envía a app.company.com, de modo que el formulario de inicio de sesión se puede personalizar más fácilmente; colores cambiados, gráficos insertados, ese tipo de cosas. Pero nos gustaría hacer esto de forma segura. No puedo ver de inmediato una forma segura de hacerlo.
Lo más cercano que puedo pensar es tener un IFRAME, pero incluso eso parece ser vulnerable al clickjacking. Además, si www.company.com estuviera comprometido, no habría nada que les impidiera simplemente reemplazar el IFRAME con un formulario regular y capturar el contenido del formulario.
Por lo tanto, mi pregunta es la siguiente. ¿Hay alguna manera de permitir a los usuarios enviar su nombre de usuario y contraseña desde un sitio no seguro sin comprometer la seguridad?