我遇到了一个医疗服务提供商网站,该网站通过aspx提供服务。此提供程序在此相同的aspx页面中具有新的客户端表单。我联系了构建网站的供应商,询问他们为什么不使用https。他们向我保证他们在iframe中使用https加密。
我的问题:此回复是否为BS?
在我看来,破解这个网站的一个非常简单的方法是使用我自己的aspx页面欺骗网站,重定向到我。没有https,浏览器不知道安全性,所以没有人能够判断它们是在我的网站上还是在实际网站上。
这是所有传输的受HIPAA保护的信息(在美国),因此有关于如何保护它的法律。承包商似乎很疏忽,但也许我错过了什么。
仅供参考,我不是故意发布网站,因为我不想邀请我认为不安全的黑客。
答案 0 :(得分:1)
在不知道如何使用iframe的情况下,很难评估网站可能存在的安全问题。
但听起来他们可能会收集不安全表单上的新客户信息,然后将它们发布到https端点。正如Troy Hunt在this article中解释的那样,这不是一种安全的做法。
显然,正如您已经提到的那样,如果没有https,中间人攻击可以轻松地将完整表单发布到攻击者站点,而用户不知道该页面的完整性和/或来源无法保证。
即使他们通过https在iframe中提供表单,如果包含的页面是通过http提供的,iframe也可以被MiM攻击取代。