Tengo una página en un sitio web que contiene un formulario seguro dentro de un iframe. Aunque los datos del formulario enviados son seguros, la página no parece segura, ya que la URL del navegador solo es HTTP. ¿Hay algo que pueda hacer para mostrar a los usuarios que el formulario es seguro?Cómo hacer que una página con un iframe HTTPS aparezca segura
Abra el formulario en una nueva ventana u hospede la página del contenedor en un servidor seguro. Los usuarios tienen derecho a ser escépticos con respecto a una página insegura que aloja una página supuestamente segura: prácticamente está pidiendo ataques XSS.
Nada que active los indicadores usuales del navegador "Esto es seguro".
Aunque los datos del formulario presentado es seguro
Puede o no puede estar encriptada. Pero es no seguro, y el navegador es absolutamente correcto para negarle un icono de candado.
Si la página principal es http, esa página podría haber sido fácilmente alterada por un ataque de hombre en el medio para apuntar a la normalmente segura a un servidor completamente diferente al esperado. O bien, es posible que se haya insertado JavaScript en la página principal para registrar las pulsaciones de teclas que realice en el formulario y enviarlas al servidor del atacante.
El usuario no tendría manera de comprobar si esto había sucedido, salvo ver el origen de la página y leer y comprender cada línea de marcado y script dentro de ella. Esto es absolutamente irreal.
Si no está en una página donde todo el contenido está protegido por https, cualquier envío desde esa página es inseguro, independientemente de dónde se indique el formulario action.
Ya sea que la página de host sea segura o no, colocar páginas https seguras dentro de un iframe no es una buena idea. Incluso las páginas https no son invulnerables a los ataques xss y MIM. La única forma de evitar confusiones en cuanto a qué dominio/servidor web está usando su navegador web es ir directamente a la página de origen, es decir, la que intenta colocar dentro de su iframe.
Iframes son una manera conveniente de incluir rápidamente contenido de otra página/sitio, ¡pero abren un montón de oportunidades para lo deshonesto!
En realidad, tenemos que admitir esto a partir de un iframe de terceros (esa es la única forma en que ofrecen integración en este momento). Tiene toda la razón. Los ataques XSS mencionados pueden funcionar independientemente de la seguridad de la página principal (https o http). Solo se necesita una inyección (ya sea un enlace de redirección a una página de phishing, etc.). Se ocupa de la vulnerabilidad de hombre en el medio. al menos (página principal con SSL). Desafortunadamente, estamos forzados a dar la ilusión de seguridad de extremo a extremo. Pero, de nuevo, incluso una página SSL sin un iframe es tan susceptible. En pocas palabras: página principal w/SSL + no inyección vuln. – Bretticus
Respondí con algunas formas únicas de hacerlo aquí: http://stackoverflow.com/questions/18327314/how-to-allow-http-content-within-an-iframe-on-a-https-site/25189561 # 25189561 –