solicitud HTTP de los insertos rastreables

0

Soy bastante nuevo aquí, así que por favor, sé amable conmigo, un novato de seguridad.

Tengo un sitio web donde quiero que un usuario complete un formulario. Este formulario ya existe en otro sitio web que tengo (que tiene mayores capacidades), pero debido al nombre del sitio web / url podría ser un riesgo de seguridad física para los usuarios del primer sitio (los países en los que residen los usuarios podrían perseguir) ellos por ir al sitio web).

Al insertar cualquier elemento del segundo sitio en mi primer sitio, ¿estoy poniendo en riesgo a mis usuarios? ¿Podrían rastrearse las solicitudes HTTP realizadas a través del formulario web en la inserción? ¿Cómo se maneja cualquier solicitud a través de una inserción? ¿Es como si el usuario estuviera yendo a ese sitio web de todos modos?

    
pregunta Ryan Smith 30.04.2018 - 22:06
fuente

2 respuestas

1

Si simplemente incrusta contenido del sitio A (peligroso) en el sitio B (inocente), alguien que observe el tráfico del usuario verá las solicitudes que se hacen al sitio A, es decir, no lo que desea.

En su lugar, debe replicar el sitio A completo en el sitio B, de modo que el sitio B solo incrusta los recursos del sitio B y también el envío del formulario final debe enviar los datos al sitio B. Esto se puede hacer haciendo que su servidor esté en el sitio B un proxy que reenvía internamente (¡no redirige!) todas las solicitudes al sitio A. Asegúrese de no usar enlaces completos que incluyan el nombre del sitio A, sino solo enlaces relativos al sitio o sitios absolutos (es decir, enlaces sin dominio explícito).

    
respondido por el Steffen Ullrich 30.04.2018 - 22:11
fuente
0

Cree otro dominio no relacionado con un nombre inocente (innocent.io), use HTTPS y envíe a los usuarios sensibles a la seguridad allí.

Redirija las respuestas de innocent.io a sensitive.io utilizando conexiones del lado del servidor, no del lado del cliente. Esto protegerá a sus usuarios de la inspección, ya que solo interactuarán con innocent.io, y solo sus servidores se comunicarán entre sí.

    
respondido por el ThoriumBR 30.04.2018 - 22:13
fuente

Lea otras preguntas en las etiquetas