1

我遇到了一个通过 aspx 为其页面提供服务的医疗提供商网站。此提供程序在同一个 aspx 页面中有新的客户端表单。我联系了建立网站的供应商,询问他们为什么不使用 https。他们向我保证他们在 iframe 中使用 https 加密。

我的问题:这个回答完全是废话吗?

在我看来,破解这个网站的一种非常简单的方法是使用我自己的重定向到我的 aspx 页面来欺骗该网站。如果没有 https,浏览器就不知道安全性,因此没有人能够判断它们是在我的网站上还是在实际网站上。

这是传输的所有受 HIPAA 保护的信息(在美国),因此有关于如何保护它的法律。承包商似乎很疏忽,但也许我遗漏了一些东西。

仅供参考,我不是故意发布该网站,因为我不想邀请黑客入侵我认为不安全的东西。

4

1 回答 1

1

在不知道 iframe 是如何使用的情况下,很难评估该站点可能存在的安全问题。

但听起来他们可能会在不安全的表单上收集新客户信息,然后将它们发布到 https 端点。正如 Troy Hunt 在本文中解释的那样,这不是一种安全的做法。

显然,正如您已经提到的那样,如果没有 https,中间人攻击可以轻松地将完整的表单发布到攻击者站点,而用户不知道该页面的完整性和/或来源无法保证。

即使他们通过 https 在 iframe 中提供表单,如果包含页面是通过 http 提供的,则 iframe 可以被 MiM 攻击替换。

于 2015-03-05T16:03:54.143 回答