Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
PCIに準拠しているときに、安全でないページ(http)で安全な(https)ライトボックスポップアップログインを使用することは可能ですか?もしそうなら、それはページに適切なセキュリティアイコン/ロックを表示しますか?
これは、複数の理由で脆弱です。攻撃者は、SSLStripを使用して https ログインと MITM パスワードを削除できます。
また、なぜログインに HTTPS を使用しているのですか? セッションの全期間にわたって使用するか、完全に無用にする必要があります。OWASP A9 に違反しており、これはFiresheepで悪用される可能性があります。