it-swarm-korea.com

HTTP 페이지에 HTTPS iframe을 임베드하는 데 보안 문제가 있습니까?

websites HTTP iframe을 HTTP 페이지에 배치하는 것을 보았습니다.

이것에 대한 보안 문제가 있습니까? 이러한 방식으로 신용 카드 정보와 같은 개인 정보를 전송하는 것이 안전합니까 (정보는 HTTP 상위 페이지가 아닌 HTTPS iframe 양식에만 위치 함)?

46
Yahel

Iframe 만 https 인 경우 사용자가 가리키는 URL을 쉽게 볼 수 없습니다. 따라서 소스 http 페이지를 변경하여 원하는 위치로 iframe을 가리킬 수 있습니다. 그것은 https의 장점을 제거하는 게임 오버 취약점입니다.

46
user502

iFrame은 내부 HTTPS 사이트를 이전 브라우저의 수많은 자바 스크립트 및 쿠키 공격에 노출 시키며 최신 브라우저에서 문제를 일으킬 수 있습니다.

이 문제를 해결하려면 "프레임 버스 팅"을 찾아 iFrame이 사용 중인지 감지하십시오. StackOverflow에서이 솔루션을 고려하십시오.

https://stackoverflow.com/questions/958997/frame-buster-buster-buster-code-eded

이 코드에서 iFrame 사용 여부를 감지하고 사용자를 올바른 사이트로 안내하는 대체 컨텐츠를 제공 할 수 있습니다.

18
goodguys_activate

HTTP를 통해 제공되는 페이지 내의 HTTPS iframe을 사용하면 사용자가 실제로 HTTPS 연결을 사용하고 있는지 확인할 수 없습니다. expect ; 따라서 이것은 잠재적으로 iframe 주입과 같은 간단한 공격으로 iframe을 가로 챌 수 있습니다. 이것은 무엇보다도 암호 수집을 허용합니다. 이러한 공격은 트로이 목마 나 바이러스를 통해 시작되거나 단순히 악의적 인 웹 사이트를 방문 할 수 있습니다.

15
Paul

예, 대부분의 최신 브라우저는 SSL 부분을 올바르게 샌드 박스로 만들지 만 브라우저 chrome에 추가 된 모든 기능을 손상시켜 내용에 대한 사용자 피드백을 제공합니다. 브라우저에 표시되는 URL을 확인하십시오.

7
symcbean

이미 제공된 도용 시나리오 외에도 로그인이 필요한 HTTP 또는 HTTPS 페이지를 가리키는 경우 IE6/7에서 문제가 발생할 수 있습니다. 기본적으로 iframe 페이지의 쿠키는 동일한 프로토콜 (HTTP 또는 HTTPS)을 사용하기를 기대하므로 iframe을 넣은 페이지가 HTTPS 대신 HTTP를 사용하는 경우 사용자가 로그인.

2
Dominique

모든 http 요청은 두 가지를 의미합니다. 하나는 해커가 스누핑하고 요청과 응답을 모두 읽고있을 수 있습니다. 둘째, 해커가 원래 웹 사이트와 다른 웹 사이트를 반환 할 수 있습니다.

따라서 http를 통해 웹 사이트에 액세스하고 https 링크를 다시 수신하면 해커가 해당 https 링크에 대해 알게 될 수 있지만 모든 것이 http 링크보다 안전하지는 않습니다.

그러나 해커가 제공 한 웹 사이트가 아니라 your 웹 사이트를 받았다는 보장은 없습니다. 따라서 https 프레임이 올바른 사이트에 존재하지 않고 해킹 된 사이트에만 존재할 수 있습니다. 그리고 어느 시점에서든 보장 할 수 없으므로 보안이 전혀 없습니다.

보안에 관한 한 http로 시작하면 게임이 끝난 것입니다.

0
gnasher729