web-dev-qa-db-fra.com

Utilisation d'une carte de crédit sur un site Web non sécurisé

J'ai une question concernant la communication d'informations de carte de crédit sur un site Web non sécurisé, avec un sous-site apparemment sécurisé. Est-ce vraiment sûr? J'ai lu une autre question sur le forum pour vérifier le code source et chercher "Form Action =", mais il n'y a rien de tel sur la page source Pas de HTTPS sur le formulaire d'entrée de carte de crédit - peut-il être sûr?

Voici le site Web: http://thaigardenoc.com/onlineorder.html

Merci pour vos réponses!

enter image description here

4
arora7dm

Bien que la page elle-même ne soit pas chargée sur HTTP, l'affichage de la commande est un iframe chargé sur HTTP, mais publié sur une page HTTPS.

HTTPS form action

Alors que le formulaire lui-même est publié sur une page HTTPS, le cadre chargé lui-même est HTTP.

HTTP embedded iframe

Ceci n'est pas sûr car le contenu de l'iframe n'a aucune intégrité. La page elle-même pourrait être modifiée par un MITM pour publier le formulaire sur un service non autorisé. Si vous inspectez le formulaire, vous pouvez voir qu'il envoie le paiement à "spreedly", qui lors de la recherche est un processeur de carte de crédit.

Cependant, il existe un gestionnaire de clic et un gestionnaire de soumission pour les formulaires.

Click handler

Click/Submit Handler

Ces gestionnaires ont la possibilité de détourner cette URL et de la modifier juste avant sa publication. Créer une autre avenue pour le vol des informations de votre carte.

Le formulaire de commande lui-même est hébergé sur un autre site, http://onlineorders.wawio.com/menu/535fe1caf61e46ae172330d8 cependant, lorsque j'essaie de mettre https, j'obtiens une erreur de nom non valide, au lieu de m'identifier comme site appelé "OpenDining". Si vous acceptez l'erreur, elle vous montrera la page que vous avez demandée.

Ne commandez pas à travers eux. Si vous voulez vous plaindre auprès d'eux, allez ici http://www.wawio.com/es/contact-us

8
zzarzzur

Tel que conçu, le formulaire est effectivement soumis à un site HTTPS. Cela signifie si le site fonctionne comme prévu, les informations de votre carte de crédit restent sécurisées.

Le problème réside dans le fait que puisque cette page est pas sécurisée, si vous avez un homme malveillant au milieu, comme un réseau sans fil non fiable, this la page est - pas protégé contre la falsification, et pourrait être modifié pour que les informations de votre carte de crédit soient pas envoyées via une connexion sécurisée, ou bien pas du tout envoyées au restaurant, mais à l'attaquant à la place .

L'ensemble du processus de commande doit être protégé par TLS. Pas seulement la page d'acceptation de paiement.

3
Xander

Ne remettez pas votre carte de crédit ou d'autres informations de paiement sur une page qui n'est pas cryptée SSL, c'est-à-dire HTTPS. SSL/TLS est un cryptage de bout en bout entre votre navigateur et le serveur Web de sorte que personne au milieu ne puisse voir les données sensibles (numéro de carte de crédit dans ce cas).

Il est difficile de croire qu'une entreprise demande aujourd'hui des informations de paiement sur une page HTTP non sécurisée uniquement. Bien qu'ils disent que la partie paiement est "sécurisée", cela ne semble pas être le cas et je commanderais ma nourriture sur un autre site Web. Une attaque MiTM mise en œuvre par quelqu'un sur votre réseau local, à l'aide d'outils tels que Wireshark, finira par révéler vos informations de carte de crédit en texte clair.

Pour une meilleure compréhension du problème, consultez la réponse à une question similaire ici sur la façon de déterminer si votre connexion n'est pas sécurisée: Pas de HTTPS sur le formulaire d'entrée de carte de crédit - peut-il être sûr?

1
whoami