0

https で保護されていないサードパーティのサイトがあるとします。

サードパーティのサイトは、基本的に私のサイトから支払いフォームを取得し、サードパーティのサイトに支払いフォームを追加する JavaScript 呼び出しを統合しました。

その人は、「https://example.com/...」というフォーム アクションを持つ支払いフォームに記入します。ここで、example.com は私のサイトです。

https で保護されていないサイトで支払いフォームに入力しているにもかかわらず、フォーム アクションが https で保護されている場合でも、情報は暗号化されますか。

だから基本的に:

支払いフォームが表示されるサイトはhttp://thirdparty.com/welcomeと呼ばれます

支払いフォームには、次のフォーム コードがあります。

<form name = "payment" action = "https://example.com/process">

このフォームは、https で暗号化されていないサイト ( http://thirdparty.com/welcome ) に表示され、 https ://example.com/process に送信されます。

そのフォームで提供される情報は暗号化されますか?

4

1 に答える 1

1

彼らが送信する情報は、HTTP 経由で送信されるときに暗号化されます…</p>

…しかし、フォームを含むページは安全ではなく、クライアントへの途中で傍受される可能性があり、余分な JavaScript が追加される可能性があります。このような JavaScript は、入力した支払い情報を (暗号化される前に) 攻撃者のサーバーにコピーする可能性があります。

したがって、このアプローチは全体として安全ではありません。

ユーザーは、サード パーティのサイトに埋め込まれずに、サイトのページでサイトがホストするフォームに誘導される必要があります。

于 2012-08-10T15:49:23.277 に答える