我遇到了一个通过 aspx 为其页面提供服务的医疗提供商网站。此提供程序在同一个 aspx 页面中有新的客户端表单。我联系了建立网站的供应商,询问他们为什么不使用 https。他们向我保证他们在 iframe 中使用 https 加密。
我的问题:这个回答完全是废话吗?
在我看来,破解这个网站的一种非常简单的方法是使用我自己的重定向到我的 aspx 页面来欺骗该网站。如果没有 https,浏览器就不知道安全性,因此没有人能够判断它们是在我的网站上还是在实际网站上。
这是传输的所有受 HIPAA 保护的信息(在美国),因此有关于如何保护它的法律。承包商似乎很疏忽,但也许我遗漏了一些东西。
仅供参考,我不是故意发布该网站,因为我不想邀请黑客入侵我认为不安全的东西。