在银行的家庭银行网站上获取普通http的图像是否安全?

时间:2016-09-27 23:58:54

标签: security

我问这里而不是https://security.stackexchange.com/,因为我不认为这个问题属于专业水平。

我刚在银行的网站上看到一些奇怪的东西,他们正在使用http而不是https从另一个域中获取图片,在Firefox上它提出了一个安全性"混合内容"警告,在Chrome上它只是在安全选项卡上显示警报。

这是网站:https://www.bancoprovincia.com.ar/Principal/BipPersonal enter image description here

在用户登录他的家庭银行之前,不安全的内容(图像)碰巧出现在页面上,我担心一些攻击者可以拦截内容并用可能存在安全风险的内容替换它。 / p>

这对银行及其客户来说是否存在安全风险?

1 个答案:

答案 0 :(得分:2)

这不是一个直接的漏洞,但仍然是不好的做法。

浮现在脑海中的一些风险:

  • 攻击者可以访问用户的连接(中间的人)可以用恶意的图像替换图像,利用浏览器或操作系统图像处理器库中潜在的零日(尚未知)的缺陷。这可能导致客户端上的远程代码执行。

  • 替换图像也可用于促进网络钓鱼。恶意图像可能会告诉用户因某种问题而拨打电话号码等。

  • 这是一个信息泄露。攻击者可能会收到有关用户浏览银行网站的信息,如果图像位于所有页面上的标题中,他们也可能会收到有关用户所做操作的信息。对于每个外部网站来说,这都是固有的情况,即使通过https链接其图像,但通过http,这也适用于任何MitM攻击者。

  • 这是潜在的可用性问题。如果外部站点上的映像超时(等待下载太长时间),则在某些浏览器中页面将无法加载一段时间,攻击者可能会利用该页面。但是,我认为这不受普通http上提供的图像的影响,我认为它会影响外部链接的https图像。

  • 这也是一种非常糟糕的做法,因为它不是在用户总是检查安全网站的浏览器指示,而是强化用户的良好安全实践,而是告诉他们如果有警告就可以。事实并非如此。

相关问题
最新问题