web-dev-qa-db-fra.com

Grooveshark accepte les cartes de crédit sans https?

Je me demande comment grooveshark parvient à le contourner.

Ils acceptent les cartes de crédit via une connexion non cryptée via https.

Y at-il quelque chose qu’ils font pour sécuriser cela, ou ne devrais-je pas leur communiquer les détails de ma carte de crédit lors de l’achat d’un abonnement grooveshark Anywhere?

1
Hailwood

La transmission des informations de votre carte de crédit se fait via HTTPS. Si vous utilisez un enregistreur de réseau tel que celui inclus dans les outils de développement de Google Chrome, vous verrez que la demande que vous envoyez et qui inclut vos informations personnelles est également envoyée à une URL https://.

Cependant, ce n’est que la moitié de l’histoire: la page de formulaire où vous entrez ces informations ne sont pas envoyées via une connexion sécurisée. Bien que le cryptage de vos informations de carte de crédit soit suffisant pour vous protéger contre une oreille indiscrète de réseau passif (et suffisant pour satisfaire aux lois et réglementations applicables en matière de carte de crédit), c’est pas ​​suffisamment pour protéger vos informations contre un attaquant capable de manipuler Données de la page de Grooveshark en transit. Imaginez ce scénario:

Grooveshark envoie une page HTML avec un formulaire afin que vous puissiez saisir les informations de votre carte de crédit. Le code sur cette page enverra les informations de votre carte de crédit via HTTPS, de manière sécurisée, à Grooveshark. Cependant, un attaquant intercepte la page avant de vous parvenir et modifie le code sur la page pour envoyer les informations de votre carte de crédit à une destination différente (vraisemblablement, une contrôlée par l'attaquant).

Une analogie avec le monde réel serait que si je dirigeais un magazine et distribuais des enveloppes sécurisées spéciales avec mon adresse, vous pourriez envoyer de l'argent pour demander un abonnement. Au lieu de les distribuer de manière sécurisée, je les laisse publiquement à la portée de tous. Ensuite, une personne perverse arrive et change l'adresse de soumission imprimée sur mes enveloppes en sa propre adresse personnelle. Ainsi, lorsque quelqu'un envoie un courrier dans un abonnement, il le reçoit à sa place.

Est-ce que quelqu'un altère activement votre connexion Internet? Probablement pas, mais il est malheureusement impossible de le dire avec certitude, car vos messages Internet sont relayés sur d'innombrables Hops sur une infrastructure non initialement conçue dans un souci de sécurité.

1
apsillers

L'acceptation des cartes de crédit nécessite https. Par conséquent, ils n'utilisent probablement que https lorsque vous cliquez sur Soumettre. Vous pouvez vérifier cela en consultant la source de la page et en recherchant où le formulaire est soumis.

0
Joe Block