1

aspx 経由でページを提供している医療提供者の Web サイトを見つけました。このプロバイダーには、同じ aspx ページ内に新しいクライアント フォームがあります。Web サイトを構築したベンダーに連絡し、https を使用しない理由を尋ねました。彼らは、iframe 内で https 暗号化を使用していることを保証しました。

私の質問: この回答は合計 BS ですか?

この Web サイトをハッキングする非常に簡単な方法は、自分にリダイレクトされる自分の aspx ページを使用してサイトを偽装することだと思われます。https がないと、ブラウザはセキュリティを認識できないため、それらが私の Web サイトにあるのか、実際の Web サイトにあるのかを知ることはできません。

これは、送信されるすべての HIPAA 保護情報 (米国内) であるため、どのように保護する必要があるかについては法律があります。請負業者はかなり怠慢なようですが、何かが足りないのかもしれません。

参考までに、安全でないと思われるハッキングを招きたくないので、わざとウェブサイトを投稿しているわけではありません。

4

1 に答える 1

1

iframe がどのように使用されているかを知らなければ、サイトのセキュリティの問題を評価することは困難です。

しかし、安全でないフォームで新しいクライアント情報を収集し、https エンドポイントに投稿する可能性があるようです。Troy Hunt がこの記事で説明しているように、これは安全な方法ではありません。

すでに言及したように、https がないと、ページの整合性や出所が保証されていないため、ユーザーが知らないうちに、中間者攻撃によって完全なフォームが攻撃者のサイトに簡単に投稿される可能性があります。

https を介して iframe でフォームを提供している場合でも、含まれているページが http を介して提供されている場合、iframe は MiM 攻撃によって置き換えられる可能性があります。

于 2015-03-05T16:03:54.143 に答える