SSL ページ内で SSL iframe を使用しても安全ですか。SSL フレームにはフォームが含まれています。
質問する
874 次
1 に答える
8
HTTPS によって提供されるセキュリティの重要な部分は、話しているサーバーの ID の検証です。これは、証明書が本物であり、要求されたホスト名と一致することを確認することによって行われます。
検証のほとんどの側面はブラウザー内で技術的に行われますが (PKI 検証とホスト名の一致の検証)、最後のステップはユーザー インターフェイスの観点からであり、ユーザーが視覚的に行う必要があります。ユーザーが HTTPS を使用するときに HTTPS を正しく使用していることを確認するのは、ユーザーの責任です。
に行くつもりだったのに とhttps://www.google.com/入力した場合https://www.g-o-o-o-o-o-gle.com、どちらも本物の証明書を持っている可能性があります (最近では誰でも証明書を取得できます。攻撃者であっても、投資に値する報酬を得ることができます)。訪問しようとしているサイトにアクセスしていることを確認するのは、ユーザー次第です。
https://リンク付きの iframe を別のページ (HTTPS であるかどうかにかかわらず) に埋め込むことで、ユーザーが目的のサイトに接続していることを確認できなくなります。ユーザーがページ DOM をチェックして、要求が送信先のホストに送信されることを確認することを期待するのは非現実的です。この段階では、ユーザーは iframe 内のサイトの身元を確認することはほとんどできません。つまり、ユーザーは実際に埋め込み者を信頼する必要があります。
これの良い悪い例は、3-D セキュアを提供した銀行業界です。. 加盟店の Web サイトには、iframe 内に銀行が提供するページが含まれており、クレジット カードの使用状況を確認するためにパスワードを入力するよう求められます。ただし、ユーザーは、マーチャント サイトに多くの信頼を置く必要があります。これは、その管理下にあるサイトにリダイレクトされ、すべての要求が本物の銀行サイトにプロキシされる可能性が非常に高いためです。本物の銀行サイトとまったく同じように見えますが、マーチャント (またはアソシエイト) は、入力したすべてのものを見ることができます。すべてのユーザーが Firebug のような開発者ツールを使用することを期待できるわけではありません (開発者であっても、JS が少し含まれていると、何が起こっているのかを追跡するのが非常に難しくなる可能性があります)。(残念なことに、このシステムの目的の 1 つは、悪質な販売者サイトに対する詐欺を正確に防止することであるため、これは少し残念です。)
HTTPS ページ内に HTTPS iframe を埋め込んでいる場合は、そのコンテンツとそれとのやり取りを効果的に保証していることになります (他の埋め込みコンテンツと同様に)。ユーザーは、埋め込まれているものではなく、証明書を確認することのみを期待できます。これには一定の責任が伴います。
于 2012-04-24T23:31:26.763 に答える