Donc, j'ai ce problème où je veux acheter un produit wacom spécifique mais leur boutique en ligne eu-store.wacom.com
et us-store.wacom.com
, même s'il est accessible via https, ne convainc pas mon firefox qu'il est sûr.
La page d'accueil réelle de Wacom www.wacom.com
s'affiche avec un verrou vert approprié et est vérifié par godaddy. Leur eshop est sous le même wacom.com
domaine mais la vérification godaddy est manquante.
Mes questions sont les suivantes: pourquoi cette incohérence se produit-elle, comment puis-je vérifier que la page du magasin est bien celle de Wacom et, finalement, est-il sûr pour moi d'acheter des trucs avec ma carte à travers elle?
Sur eu-store.wacom.com
, certaines images de leur CDN Amazon sont demandées via http au lieu de https. Cela peut être résolu en installant HTTPS Everywhere et en activant "Crypter tous les sites éligibles":
Le cadenas gris signifie que toutes les ressources sont servies en toute sécurité. La boutique en ligne n'est donc probablement pas compromise. Ils utilisent toujours un chiffrement obsolète basé sur CBC et SHA1, donc un pouvoir d'État-nation pourrait toujours être en mesure d'intercepter ou même de MITM la connexion.
Mes questions sont, pourquoi cette incohérence se produit
Ceci est connu sous le nom de contenu mixte , où la page est chargée avec HTTPS, tandis que certaines parties (images) sont chargées via HTTP non sécurisé.
comment puis-je vérifier que la page du magasin est bien celle de Wacom
Tant que votre système n'a pas été compromis, le seul moyen est d'utiliser HTTPS partout et de visiter l'URL correcte, sinon le HTTP peut être MITM et la réponse retournée pourrait elle-même être une page de phishing.
[~ # ~] note [~ # ~] : - Cette réponse ignore toutes les autres vulnérabilités du Web/navigateur.
puis-je acheter des trucs avec ma carte en toute sécurité?
Eh bien, ils vous redirigeront probablement vers un autre site Web au moment de payer, ce qui pourrait utiliser HTTPS.En dehors de cela, les images peuvent être altérées dans une situation MITM.
Les attaquants peuvent être capables de manipuler des parties de la page, par exemple, en affichant du contenu trompeur ou inapproprié, mais ils ne devraient pas être en mesure de voler vos données personnelles sur le site.
Sur eu-store.wacom.com, certaines images de leur CDN Amazon sont demandées via http au lieu de https
Permettez-moi de continuer. Firefox dit qu'il n'est pas sécurisé à 100% car il charge du contenu non protégé. Je dirais naïvement ... c'est 95% sécurisé
Maintenant, cela ne signifie pas le site wacom.com
n'est pas légitime , mais peut-être mal configuré . Si vous achetez aujourd'hui sur ce site, il est peu probable que vous payiez un escroc prétendant être Wacom , mais voyez plus tard.
Au contraire, le contenu non protégé servi sur http
peut être un danger pour Wacom lui-même qui n'a pas configuré correctement sa boutique.
Mis à part ce que les attaquants de niveau gouvernemental peuvent faire, voici quelques exemples de ce qu'un véritable attaquant peut faire lors d'une attaque MitM sur un vieux http:
Iframe
s servi sur http peut être modifié et causer un certain nombre de dommages, mais probablement pas renifler votre numéro CC (corrigez-moi si je me trompe)Bien sûr, je parle d'un PoV plus théorique sur le protocole.
Donc...
comment puis-je vérifier que la page du magasin est bien celle de wacom?
Oui, ce sont eux. Le site n'est pas compromis, mais vulnérable
est-il sûr pour moi d'acheter des trucs avec ma carte à travers elle
Probablement depuis votre réseau domestique. J'éviterais toujours une navigation sensible sur wifis publique ou Tor sans cryptage approprié