HTTPS iFrame incrustado en la página HTTP: ¿implicaciones de PCI?

6

Actualmente estoy trabajando como voluntario en una organización sin fines de lucro. Mientras investigaba algo no relacionado, noté que una agencia de $ sister estaba utilizando un iFrame incorporado para aceptar donaciones en línea. Si bien la fuente del marco utiliza HTTPS, la página en la que se encuentra es HTTP.

$ sisteragency utiliza un software de CRM de terceros para manejar las donaciones, proporcionado por $ crmcompany. $ crmcompany afirma ser compatible con PCI, pero sus instrucciones parecen basarse en agregar el iFrame a una página insegura. Su base de conocimientos contiene un mensaje sugerido para mostrar a los usuarios que se reduce a: "Aunque no puede ver el candado o https en la barra de direcciones, la parte de la página que captura su información de pago [el iFrame] es segura". Su página de YouTube tiene un video tutorial donde muestran el iFrame (con un https src) que se agrega a una página http. Su sitio incluso tiene instrucciones paso a paso para responder a las consultas de cumplimiento de PCI de un procesador de pagos (como en, exactamente lo que debe ingresar en cada campo).

Todo esto me parece muy sombrío. ¿No podría un hombre en el ataque central modificar el src del iFrame, ya que la página que contiene es http? A pesar de las reclamaciones de $ crmcompany, ¿no es responsable también la responsabilidad de PCI de $ sister ($ crmcompany dice que es responsable del cumplimiento de sus clientes)? ¿Es $ crmcompany negligente y / o no cumple con proporcionar instrucciones para incrustar el sistema de pago seguro en una página insegura?

Básicamente, ¿tengo derecho a estar tan inquieto por todo esto?

    
pregunta Sigvaldr 28.04.2016 - 17:06
fuente

3 respuestas

2

Usar un iframe https en una página web http solo protege contra atacantes pasivos .

No es una buena solución porque:

  • No protege contra el atacante activo (pueden reescribir la url del iframe, vea sslstrip)
  • El navegador no puede mostrar un candado para https (porque la página principal no es segura)

La única forma de manejar datos de manera segura es con HTTPS en la página web completa :

  • Todo está encriptado incluso para que un atacante activo no pueda leer los datos ni modificarlos (incluidos los enlaces)
  • El usuario obtiene la confirmación del navegador de que todo está cifrado (con el candado)

Tenga en cuenta que tener esa página usando https no es suficiente: Los enlaces a esa página deben estar protegidos (imagine que si la página de inicio http muestra una "donación" del enlace https, un atacante puede reescribirlo). Por lo tanto, para proteger realmente un sitio web que maneje datos confidenciales (tenga en cuenta que según la legislación europea, los datos personales deben estar protegidos) todo el sitio web debe utilizar HTTPS.

El uso de HTTPS + HSTS en el sitio web completo es la mejor manera de proteger un sitio web que debe proteger algunos datos, incluso si se encuentra en algunas páginas web .

(Lo siento, sé que no responde sobre la conformidad con PCI, solo sobre seguridad)

    
respondido por el Tom 01.05.2016 - 12:30
fuente
0

Es difícil creer que $ crmcompany es realmente compatible con PCI con ese tipo de iFrame "seguro" dentro de una configuración de documento no segura. Incluso si $ crmcompany es compatible con PCI (y solicitaría una copia de su auditoría más reciente que demuestre el cumplimiento), sus organizaciones sin fines de lucro no son compatibles con PCI y están obligadas a hacerlo ya que aceptan pagos a través de su sitio (independientemente de iFrame). Dado que los pagos parecen estar llegando a través del sitio sin fines de lucro, deben ser compatibles con PCI. Además, si recuperan y almacenan cualquiera de las PII relacionadas con la transacción de pago, también son responsables del cumplimiento de PCI, y como se mencionó en @Tom, deberán proteger la PII conforme a las leyes de privacidad de la UE.

    
respondido por el Shackledtodesk 29.10.2016 - 03:24
fuente
0

Considere que está teniendo un sitio inseguro enlace con un sitio seguro enlace incrustado en iframe en sitio inseguro.

Un usuario que utiliza un wifi público (alojado por un atacante con el nombre "FreeHub" en una cafetería) y accede a su sitio inseguro donde se carga el sitio seguro en iframe. En este punto, los atacantes ahora tienen acceso al flujo de datos b / w usuario y al mundo exterior ( ataque MITM ). Podría ver todos los datos a los que accedió el usuario en texto claro (solo sitio HTTP). ).

Dado que el sitio seguro de HTTPS está enmarcado en un sitio HTTP inseguro, existe la posibilidad de que

  1. El atacante para insertar el script java en el sitio HTTP que podría registrar todo los golpes de tecla (Key Logger).
  2. El atacante también podría redirigir al usuario a otro phisphing sitio simplemente cambiando el inframe src (ya que el iframe está incrustado en HTTP).

Además, dado que el sitio alojado en HTTP, el navegador no mostrará un candado (lo que indica que el sitio es seguro). El usuario educado que tiene conocimiento sobre HTTPS / PCI no estará listo para ingresar sus datos de pago / tarjeta a pesar de que su sitio menciona "Aunque no puede ver el candado o https en la barra de direcciones, la parte de la página que captura su información de pago [el iFrame] es seguro ". Por lo tanto, reduce la donación a su organización.

Como se trata de los detalles de pago del usuario, es mejor alojar un sitio HTTP seguro.

    
respondido por el jey 28.03.2017 - 09:13
fuente

Lea otras preguntas en las etiquetas