¿Qué significa el mensaje? ¿No es seguro pagar en línea en este sitio web?

Navega tus respuestas
0

El problema se produce en Opera 45.0.2552.812 Linux estable de 64 bits con identificación del navegador

  

Mozilla / 5.0 (X11; Linux x86_64) AppleWebKit / 537.36 (KHTML, como Gecko)   Chrome / 58.0.3029.81 Safari / 537.36 OPR / 45.0.2552.812

Una tienda web (no le dirá el nombre para no comprometerlos en caso de que este sea un problema por mi parte) tiene un campo para ingresar la información de la tarjeta de crédito (nombre, fecha de vencimiento, CVC). Cuando hago clic en cualquiera de los campos, Opera muestra un desplegable de estilo de cuadro combinado debajo del campo que dice "¡Pago no seguro!". Al mismo tiempo, veo un mensaje de "Contenido bloqueado" en el extremo derecho de la barra de direcciones. Cuando hago clic en ese mensaje y elijo habilitar dicho contenido inseguro, puedo ver que la página no es HTTPS y al hacer clic en el globo en la parte izquierda de la barra de direcciones, se muestra la ventana emergente adjunta.

¿Qué significa la información y debo abstenerme de hacer un pago en ese sitio web?

Captura de pantalla adjunta: enlace

Editar:

El "Pago no es seguro!" la advertencia aparece solo después de habilitar el contenido inseguro en la barra de direcciones. Hasta que lo haga, no hay ninguna advertencia al ingresar información en los campos de la tarjeta de crédito.

    
pregunta iksemyonov 16.06.2017 - 17:33
fuente

3 respuestas

3

Es difícil ofrecer algo más que "teorías" sin analizar el código real, pero esto parece probable:

  1. Es una página entregada a través de https.
  2. Algunos de ellos se cargan a través de http. Algo con href="http: // ..."
  3. Esto es suficiente para que Opera: a) bloquee el contenido + y + muestre el mensaje "contenido bloqueado".
  4. Mientras el contenido http esté bloqueado, el resto de la página renderizada estará a salvo, por lo tanto, no verá una advertencia de "contenido inseguro". Por cierto, la mayoría de los navegadores representan (sin bloquear, pero con / sin advertencia) lo que consideran "contenido pasivo" a pesar de ser http (por ejemplo, imágenes).
  5. Cuando habilitas el contenido inseguro, entonces Opera se pone furioso y emite advertencias de "contenido inseguro".

¿Qué podría salir mal? Parte del contenido inseguro activo en la página tiene acceso al DOM, es decir, a cada bit de información que ingresó, incluidos los detalles de su tarjeta de crédito. Esta es una mala noticia porque a menos que profundice, no sabrá si se abusa de ese acceso. Entonces, en general, asumes lo peor (incluso si es un descuido estúpido por parte de un programador) y no arriesgas tu información. Por supuesto, si confía en sus habilidades analíticas, podría analizar el contenido inseguro; asegúrese de que no esté cargando más código en tiempo de ejecución y luego decida si es seguro. Para la mayoría de la gente, eso es un poco demasiado cuando lo único que quieren es comprar algunos giros de inquietud. :)

P.S. Lo que no puedo conciliar aquí es su "Puedo ver que la página no es https". Eso no concilia con la captura de pantalla también (donde se ve un certificado), así que supongo que quiso decir que la página no es "100% https".

    
respondido por el Sas3 16.06.2017 - 18:26
fuente
1

Parece que la página principal se entrega a través de https pero que parte del contenido no lo está. Técnicamente no es seguro, por lo que su navegador le advierte.

En la práctica, quién sabe. Si fuera un sitio de foro o algo de poco valor, podría hacerlo. No hay oportunidad con la información de la tarjeta de crédito

    
respondido por el ste-fu 16.06.2017 - 17:40
fuente
1

¿Qué significa la información y debo abstenerme de realizar un pago en ese sitio web?

  1. La página de entrada de pago de la tienda web sin SSL es sospechosa

  2. La tienda web que no utiliza el certificado SSL adecuado (autofirmado, caducado, etc.) es sospechosa.

  3. La tienda web que no implementa SSL correctamente significa que la tienda web está mal mantenida, la aplicación no está parcheada. Son susceptibles a los scripts de sitios cruzados que realizan el rastreo de datos.

respondido por el mootmoot 16.06.2017 - 18:23
fuente

Lea otras preguntas en las etiquetas

¿Cómo se explotó el sitio web de Lowe's para robar mercadería? ¿El impacto de compartir el MAC de mi dispositivo para acceder a wifi? [duplicar]