web-dev-qa-db-ja.com

HTTPページにHTTPS iframeを埋め込むことでセキュリティの問題はありますか?

websites HTTP iframeをHTTPページに配置するのを見てきました。

これにセキュリティ上の懸念はありますか?クレジットカードの詳細などの個人情報をこのようなスキームで送信しても安全ですか(情報はHTTPS iframeフォームにのみ配置され、HTTP親ページには配置されません)?

46
Yahel

Iframeのみがhttpsの場合、ユーザーはそれが指しているURLを簡単に見ることができません。したがって、ソースのhttpページを変更して、iframeを目的の場所に向けることができます。これは、httpsの利点を排除するゲームオーバーの脆弱性です。

46
user502

iFrameは、内部のHTTPSサイトを古いブラウザーの多数のJavaScriptおよびCookie攻撃にさらし、新しいブラウザーで問題を引き起こす可能性があります。

これを修正するには、「フレームバスティング」を調べて、iFrameが使用されているかどうかを検出します。 StackOverflowでこのソリューションを検討してください:

https://stackoverflow.com/questions/958997/frame-buster-buster-buster-code-needed

そのコードでは、iFrameが使用されているかどうかを検出し、ユーザーを適切なサイトに誘導するための代替コンテンツを提供できます。

18

HTTP経由で提供されるページ内のHTTPS iframeは、ユーザーが実際にHTTPS接続を使用していることをユーザーが確認できないexpectなる;したがって、これにより、iframeインジェクションなどの単純な攻撃でiframeがハイジャックされる可能性があります。これにより、特にパスワードの取得が可能になります。このような攻撃は、トロイの木馬やウイルスを介して、または単に悪意のあるWebサイトにアクセスすることによって始まる可能性があります。

15
Paul

はい、最新のブラウザはSSL部分を適切にサンドボックス化しますが、ブラウザに追加されたすべての機能を弱体化していますchrome内容に関するユーザーフィードバックを提供します。ブラウザに表示されているURLを確認します。

7
symcbean

すでに説明したハイジャックのシナリオに加えて、ログインが必要なHTTPページまたはHTTPSページのいずれかをポイントすると、IE6/7で問題が発生する可能性があります。基本的に、iframeのページからのcookieは、同じプロトコル(HTTPまたはHTTPS)を使用することを想定しているため、iframeを配置するページがHTTPSではなくHTTPを使用している場合、ユーザーは次のことができません。ログインする。

2
Dominique

Httpリクエストは2つのことを意味します。1つは、ハッカーがスヌーピングしてリクエストとレスポンスの両方を読み取っている可能性があることです。 2つ目は、ハッカーが元のWebサイトとは異なるWebサイトを返す可能性があることです。

したがって、httpを介してWebサイトにアクセスし、httpsリンクが返された場合、ハッカーはそのhttpsリンクについて知る可能性がありますが、全体としてはhttpリンクよりも安全性が低くありません。

ただし、ハッカーから提供されたものではなく、your Webサイトを受け取ったという保証は一切ありません。そのため、httpsフレームは正しいサイトには存在せず、ハッキングされたサイトにのみ存在する可能性があります。そして、それが指す場所はまったく保証されていないため、セキュリティもまったく保証されていません。

Httpから始めると、セキュリティに関する限り、それはゲームオーバーです。

0
gnasher729