web-dev-qa-db-ja.com

HTTPページに埋め込まれたHTTPS iFrame-PCIの影響?

私は現在、非営利団体でボランティア活動をしています。無関係なものを調査していたところ、$ sisteragencyが埋め込みiFrameを使用してオンライン寄付を受け入れていることに気付きました。フレームのソースはHTTPSを使用しますが、そのページはHTTPです。

$ sisteragencyはサードパーティのCRMソフトウェアを使用して、$ crmcompanyが提供する寄付を処理します。 $ crmcompanyはPCIに準拠していると主張していますが、その指示はiFrameを安全でないページに追加することを中心に構築されているようです。そのナレッジベースには、「アドレスバーに南京錠やhttpsが表示されていない場合でも、ページの支払い情報[iFrame]をキャプチャする部分は安全です。」というメッセージが表示されます。彼らのYouTubeページには、httpページに追加されるiFrame(https src付き)を示すビデオチュートリアルがあります。彼らのサイトには、ペイメントプロセッサからのPCIコンプライアンスの問い合わせに対応するための詳細な手順も含まれています(各フィールドに正確に何を入力するかなど)。

これはすべて私には本当に怪しいようです。中間の攻撃者は、含まれているページがhttpであるため、iFrameのsrcを変更できませんでしたか? $ crmcompanyの主張にもかかわらず、$ sisteragencyもPCIコンプライアンスの責任を負っていませんか($ crmcompanyはクライアントのコンプライアンスの責任を負っていると言っています)。安全な支払いシステムを安全でないページに埋め込むための指示を提供することにより、$ crmcompanyは過失および/または非準拠ですか?

基本的に、私はこれすべてにそれほど落ち着かないのですか?

tlspci-dssiframe
6
Sigvaldr

Http Webページでhttps iframeを使用するパッシブな攻撃者に対してのみ保護

次の理由により、これは適切なソリューションではありません。

  • アクティブな攻撃者から保護しません(iframeのURLを書き換えることができます。sslstripを参照してください)
  • ブラウザはhttpsの南京錠を表示できません(メインページが安全でないため)

データを安全に処理する唯一の方法は、Webページ全体でHTTPSを使用することです

  • すべてが暗号化されているため、攻撃者はデータを読み取ったり変更したりできません(リンクを含む)。
  • すべてが暗号化されていることをユーザーがブラウザから確認します(南京錠で)

そのページにhttpsを使用するだけでは十分ではないことに注意してください。そのページへのリンクは保護する必要があります(httpホームページにhttpsリンクの「寄付」が表示されている場合、攻撃者はそれを書き直すことができます)。したがって、機密データを扱うWebサイトを本当に保護するには(ヨーロッパの法律により、個人データを保護する必要があることに注意してください)、Webサイト全体でHTTPSを使用する必要があります。

Webサイト全体でHTTPS + HSTSを使用することは、たとえいくつかのWebページにある場合でも、一部のデータを保護する必要があるWebサイトを保護するための最良の方法です

(申し訳ありませんが、PCIの適合性については回答せず、セキュリティについてのみ回答しています。)

2
Tom

$ crmcompanyが、セキュリティで保護されていないドキュメントセットアップ内のそのような "セキュリティで保護された" iFrameに本当にPCI準拠しているとは信じがたいことです。 $ crmcompanyがPCIに準拠している(そして、私が準拠を示す最新の監査のコピーを要求する)場合でも、非営利団体はPCIに準拠しておらず、サイト経由で支払いを受け取るため(iFrameに関係なく)、準拠する必要があります。支払いは非営利団体のサイトを通じて行われているように見えるため、PCIに準拠している必要があります。さらに、支払いトランザクションに関連するPIIのいずれかを取得して保存する場合、PCIコンプライアンスの責任も負うため、@ Tomが述べたように、EUプライバシー法に基づいてPIIを保護する必要があります。

0
Shackledtodesk

安全でないサイト http://charity.com と安全なサイト https://Securecharity.com が安全でないサイトのiframeに埋め込まれているとします。

パブリックWiFi(コーヒーショップで「FreeHub」という名前の攻撃者によってホストされている)を使用していて、安全なサイトがiframeにロードされている安全でないサイトにアクセスしているユーザー。この時点で、攻撃者はデータストリームのb/wユーザーと外界にアクセスできるようになりました(MITM攻撃)。ユーザーがクリアテキストでアクセスしたデータ(HTTPサイトのみ)。

安全なHTTPSサイトが安全でないHTTPサイトにイフラミングされているため、

  1. 攻撃者は、すべてのキーストロークを記録できるHTTPサイトにJavaスクリプトを挿入する(Key Logger))。
  2. 攻撃者はまた、インフレームsrcを変更するだけでユーザーを他のフィッシングサイトにリダイレクトする可能性があります(iframeはHTTPに埋め込まれているため)。

また、HTTPでホストされているサイトなので、ブラウザーには南京錠が表示されません(これはサイトが安全であることを示します)。 HTTPS/PCIに関する知識のある教育を受けたユーザーは、「アドレスバーに南京錠またはhttpsが表示されない場合でも、支払い情報をキャプチャするページの一部が表示されない場合でも、支払い/カードの詳細を入力する準備ができていません。 [iFrame]は安全です。 "これにより、組織への寄付が減ります。

ユーザーの支払いの詳細が含まれるため、安全なHTTPSサイトをホストすることが最善です。

0
jey