Ingreso de información confidencial en un sitio que no sea SSL que usa iFrame seguro

  

Me pregunto cuáles son los riesgos de seguridad de este tipo de configuración para los usuarios.

Es casi tan malo como servir todo sobre HTTP simple.

Obtienes protección contra ataques de escucha puramente pasivos, pero es muy probable que cualquier persona que esté en posición de hacer ese tipo de ataque de hombre en el medio también sea capaz de realizar un ataque activo, cambiando el contenido que se envía. de vuelta al navegador. Esto podría incluir cambiar el iframe src en la página principal no protegida o inyectar algún script de ataque.

En la práctica, el HTTPS-iframe le brinda protección contra un atacante casual que detecta tráfico en general, pero para cualquier persona en el medio que apunte al sitio específicamente, es trivial hacer que la medida sea inefectiva.

Depende del proveedor si consideran que esta garantía HTTP poco más que simple es adecuada para el tipo de información que se ingresará en el marco, excepto si esa información contiene datos de la tarjeta de crédito, en cuyo caso tener la obligación de cumplir con las reglas de PCI-DSS que requieren HTTPS. (Se espera que los evaluadores verifiquen que los indicadores HTTPS están visibles en el navegador Chrome).

  

es desconcertante ver que la barra de direcciones del navegador no puede proporcionar información de identidad / cifrado.

Sí, independientemente de la cuestión de la seguridad real, se trata de una mala seguridad percibida y puede desanimar a algunos usuarios.

  

Sin ver la fuente de la página, ¿cómo puedo saber de dónde proviene el contenido de iframe?

Bastante. Ver la fuente / DOM no es algo que se pueda esperar que haga un usuario promedio.

Además, incluso si verifica que el iframe se está sirviendo mediante HTTPS, no hay nada que impida que la página principal no asegurada interfiera con los ataques de "clickjacking", por ejemplo, un formulario de superposición de registro de teclas.

  

¿Es suficiente confiar en el sello de Godaddy?

Los sellos no ofrecen seguridad, ya que son trivialmente falsos. No son más que un ejercicio de marketing; Las AC deben avergonzarse de este comportamiento deliberadamente engañoso.

La combinación de HTTP y HTTP destruye la mayoría de las ventajas de HTTPS. Por un lado, un atacante podría presentarle un marco HTTP primario malicioso, con el iframe enlazado a su propio sitio. El navegador no lo encontraría sospechoso. Tampoco lo haría el usuario. La URL del iframe está oculta, y el iframe no pretende ser HTTP. Nadie sabría la diferencia, a menos que lo verifiquen.

El "sello" es solo un elemento HTML, fácilmente forjado. No sé cómo funciona, pero probablemente solo sea un enlace a una página de GoDaddy con información de certificado SSL. El iframe malicioso puede usar el mismo HTML y enlazar a la misma página de GoDaddy. O bien, pueden mostrar la información de seguridad de una manera diferente (dentro del propio iframe, etc.), y aquellos que no saben cómo se ve el autenticador original nunca sabrán la diferencia.