He visto sitios web colocando iframes HTTPS en páginas HTTP.
¿Hay algún problema de seguridad con esto? ¿Es seguro transmitir información privada como los detalles de la tarjeta de crédito en un esquema de este tipo (donde la información solo se coloca en el formulario iframe de HTTPS, y no en la página principal HTTP)?
Si solo el iframe es https, el usuario no puede ver de manera trivial la URL a la que apunta. Por lo tanto, la página http de origen podría modificarse para apuntar el iframe a cualquier lugar que quisiera. Eso es prácticamente una vulnerabilidad de juego que elimina las ventajas de https.
iFrames expondrá el sitio interno HTTPS a numerosos ataques de javascript y cookies en los navegadores más antiguos, y puede causar problemas en los navegadores más nuevos.
Para solucionar este problema, busque "Frame Busting" para detectar si se están utilizando iFrames. Considere esta solución en StackOverflow:
En ese código, puedes detectar si se están utilizando iFrames y ofrecer contenido alternativo para dirigir al usuario al sitio adecuado.
Un iframe de HTTPS dentro de una página servida a través de HTTP no permitirá que el usuario se asegure de que realmente está usando la conexión HTTPS que esperamos > ; por lo tanto, esto potencialmente permite que el iframe sea secuestrado en un ataque simple como una inyección de iframe. Esto permitiría la recolección de contraseñas, entre otras cosas. Tal ataque podría comenzar a través de un troyano, un virus o simplemente visitando un sitio web malicioso.
Sí, mientras que los navegadores más recientes protegerán adecuadamente las partes SSL, está minando toda la funcionalidad agregada a Chrome del navegador para proporcionar comentarios de los usuarios con respecto a los contenidos. Por mi parte, no proporcionaría ninguna información confidencial sin consultar la URL que aparece en mi navegador.
Además de los posibles escenarios de secuestro que ya se dieron, es posible que tenga problemas en IE6 / 7 si apunta a una página HTTP o HTTPS que requiere inicio de sesión. Básicamente, las cookies de la página del iframe esperan que estés usando el mismo protocolo (HTTP o HTTPS) y, por lo tanto, si la página en la que estás colocando el iframe está usando HTTP en lugar de HTTPS, evitará que el usuario pueda iniciar sesión.
Lea otras preguntas en las etiquetas web-application tls appsec