Безопасный iframe в незащищенном документе?

Question

Я создаю сайт для спортивного центра. Регистрации обрабатываются с помощью стороннего программного обеспечения. Есть варианты зарегистрироваться непосредственно через сторонний сайт или интегрировать регистрационную форму в мой сайт с iframes.

Поскольку я бы предпочел не отправлять людей на другой сайт, я выбрал опцию iframes. У меня вопрос: могу ли я быть уверен, что люди будут получать такой же уровень безопасности в iframe, как и на полностью защищенной сторонней странице?

Спасибо.

Answer 1

Этот дизайн делает вас более склонным к SSLStrip . Я рекомендовал посмотреть видео «Обсуждение Мокси Марленспайк». Хотя на практике такая атака не распространена.

Этот iframe не будет нарушением OWASP A9: Недостаточная защита транспортного уровня . Однако, если вы планируете разрешить пользователям входить на сайт HTTP или если вы передаете идентификатор сеанса через HTTP, это будет явное нарушение OWASP A9.

Короче говоря, https абсолютно необходим для защиты ваших пользователей.