web-dev-qa-db-fra.com

Existe-t-il des problèmes de sécurité liés à l'intégration d'une iframe HTTPS sur une page HTTP?

J'ai vu sites Web placer des iframes HTTPS sur des pages HTTP.

Y a-t-il des problèmes de sécurité à ce sujet? Est-il sécurisé de transmettre des informations privées comme les détails de carte de crédit dans un tel schéma (où les informations ne sont placées que sur le formulaire iframe HTTPS, et non sur la page parent HTTP)?

46
Yahel

Si seul l'iframe est https, l'utilisateur ne peut pas voir de manière triviale l'URL vers laquelle il pointe. Par conséquent, la page http source pourrait être modifiée pour pointer l'iframe n'importe où. C'est à peu près une vulnérabilité de jeu qui élimine les avantages de https.

46
user502

les iFrames exposeront le site HTTPS interne à de nombreuses attaques de javascript et de cookies dans les navigateurs plus anciens, et peuvent provoquer des problèmes dans les navigateurs plus récents.

Pour résoudre ce problème, recherchez "Frame Busting" pour détecter si des iFrames sont utilisées. Considérez cette solution sur StackOverflow:

https://stackoverflow.com/questions/958997/frame-buster-buster-buster-code-needed

Dans ce code, vous pouvez détecter si des iFrames sont utilisées et proposer un contenu alternatif pour diriger l'utilisateur vers le site approprié.

18
goodguys_activate

Une iframe HTTPS dans une page servie via HTTP ne permettra pas à l'utilisateur d'être sûr qu'il utilise réellement la connexion HTTPS qu'il ( attend être; par conséquent, cela permet potentiellement à l'iframe d'être détourné dans une attaque simple telle qu'une injection d'iframe. Cela permettrait, entre autres, la récolte de mots de passe. Une telle attaque pourrait commencer par un cheval de Troie, un virus ou simplement visiter un site Web malveillant.

15
Paul

Oui, alors que les navigateurs les plus récents satureront correctement les parties SSL, vous sapez toutes les fonctionnalités ajoutées au navigateur chrome pour fournir aux utilisateurs des commentaires concernant le contenu. Pour ma part, je ne fournirais aucune information sensible sans vérifier l'URL affichée dans mon navigateur.

7
symcbean

En plus des scénarios de piratage possibles déjà indiqués, vous pouvez rencontrer des problèmes sur IE6/7 si vous pointez sur une page HTTP ou HTTPS nécessitant une connexion. Fondamentalement, les cookies de la page de l'iframe s'attendent à ce que vous utilisiez le même protocole (HTTP ou HTTPS) et donc si la page sur laquelle vous mettez l'iframe utilise HTTP au lieu de HTTPS, cela empêcherait l'utilisateur de pouvoir s'identifier.

2
Dominique

Toute demande http signifie deux choses: premièrement, les pirates peuvent espionner et lire à la fois la demande et la réponse. Deuxièmement, les pirates pourraient être en mesure de renvoyer un site Web différent de celui d'origine.

Donc, si j'accède à votre site Web via http et que je reçois un lien https, les pirates informatiques pourraient en apprendre davantage sur ce lien https, mais dans l'ensemble, il n'est pas moins sécurisé qu'un lien http.

Cependant, il n'y a aucune garantie que j'ai reçu votre site Web et pas celui fourni par un pirate. Pour que le cadre https ne soit même pas présent sur le bon site, seulement sur le site piraté. Et il n'y a aucune garantie là où elle pointe, donc aucune sécurité du tout.

Une fois que vous avez commencé avec http, en ce qui concerne la sécurité, le jeu est terminé.

0
gnasher729