Tengo una página en un sitio web que contiene un formulario seguro dentro de un iframe. Aunque los datos del formulario enviados son seguros, la página no parece segura, ya que la URL del navegador solo es HTTP. ¿Hay algo que pueda hacer para mostrar a los usuarios que el formulario es seguro?Cómo hacer que una página con un iframe HTTPS aparezca segura
Respuesta
Abra el formulario en una nueva ventana u hospede la página del contenedor en un servidor seguro. Los usuarios tienen derecho a ser escépticos con respecto a una página insegura que aloja una página supuestamente segura: prácticamente está pidiendo ataques XSS.
Nada que active los indicadores usuales del navegador "Esto es seguro".
Aunque los datos del formulario presentado es seguro
Puede o no puede estar encriptada. Pero es no seguro, y el navegador es absolutamente correcto para negarle un icono de candado.
Si la página principal es http
, esa página podría haber sido fácilmente alterada por un ataque de hombre en el medio para apuntar a la normalmente segura a un servidor completamente diferente al esperado. O bien, es posible que se haya insertado JavaScript en la página principal para registrar las pulsaciones de teclas que realice en el formulario y enviarlas al servidor del atacante.
El usuario no tendría manera de comprobar si esto había sucedido, salvo ver el origen de la página y leer y comprender cada línea de marcado y script dentro de ella. Esto es absolutamente irreal.
Si no está en una página donde todo el contenido está protegido por https
, cualquier envío desde esa página es inseguro, independientemente de dónde se indique el formulario action
.
Ya sea que la página de host sea segura o no, colocar páginas https seguras dentro de un iframe no es una buena idea. Incluso las páginas https no son invulnerables a los ataques xss y MIM. La única forma de evitar confusiones en cuanto a qué dominio/servidor web está usando su navegador web es ir directamente a la página de origen, es decir, la que intenta colocar dentro de su iframe.
Iframes son una manera conveniente de incluir rápidamente contenido de otra página/sitio, ¡pero abren un montón de oportunidades para lo deshonesto!
En realidad, tenemos que admitir esto a partir de un iframe de terceros (esa es la única forma en que ofrecen integración en este momento). Tiene toda la razón. Los ataques XSS mencionados pueden funcionar independientemente de la seguridad de la página principal (https o http). Solo se necesita una inyección (ya sea un enlace de redirección a una página de phishing, etc.). Se ocupa de la vulnerabilidad de hombre en el medio. al menos (página principal con SSL). Desafortunadamente, estamos forzados a dar la ilusión de seguridad de extremo a extremo. Pero, de nuevo, incluso una página SSL sin un iframe es tan susceptible. En pocas palabras: página principal w/SSL + no inyección vuln. – Bretticus
- 1. iframe seguro en página no segura en un dominio diferente
- 2. iOS: ¿Cómo hacer una conexión segura HTTPS para pasar credenciales?
- 3. Cómo hacer que un sitio web esté protegido con https
- 4. Secure IFRAME anidado en la página no segura
- 5. ¿Cómo hacer que file_get_contents() funcione con HTTPS?
- 6. Contenido inseguro en iframe en la página segura
- 7. Hacer que una lista enlazada sea segura
- 8. ¿Cómo hacer que un botón aparezca como si estuviera presionado?
- 9. HTTP y HTTPS iframe
- 10. ¿Es segura una cadena de consulta HTTPS?
- 11. ¿Cómo hacer que un enlace de anuncio aparezca como una imagen?
- 12. ¿Cómo puedo hacer que la página shift + barra espaciadora aparezca en Vim?
- 13. Cómo hacer que Javado Javadocs aparezca en Eclipse en Ubuntu
- 14. ¿Es segura una conexión HTTPS sin un certificado SSL válido?
- 15. Cómo hacer que un iframe tome espacio vertical
- 16. Cómo hacer que aparezca una aplicación de iPhone en Spotlight con una consulta que no coincide exactamente con
- 17. Winforms: ¿cómo puedo hacer que MessageBox aparezca centrado en MainForm?
- 18. ¿Cómo hacer que 'appendix' aparezca en toc en Latex?
- 19. Compartiendo la variable javascript global de una página con un iframe dentro de esa página
- 20. Autenticación segura con GWT y GAE en https?
- 21. Cómo hacer que la página con Hash Tag Href Refresh
- 22. Cómo hacer que una imagen cercana aparezca en la esquina superior derecha de un DIV
- 23. iframe con página externa no funciona
- 24. ¿Cómo hacer que los enlaces salgan del iframe cuando solo controlas la página iframe (no las páginas enmarcadas)?
- 25. ¿Qué URL en una página https deben ser https?
- 26. ¿Cómo hacer que una lista HTML aparezca horizontalmente en lugar de verticalmente usando solo CSS?
- 27. Ajax usando https en una página http
- 28. Hacer que el elemento secundario aparezca fuera del elemento principal
- 29. ¿Cómo puedo hacer que una lista de pares de nombre-valor aparezca como una tabla HTML?
- 30. ¿Hay una cookie segura en una conexión HTTPS?
Respondí con algunas formas únicas de hacerlo aquí: http://stackoverflow.com/questions/18327314/how-to-allow-http-content-within-an-iframe-on-a-https-site/25189561 # 25189561 –