SSLページ内のSSL iframeを使用する危険性は何ですか

Question

SSLページ内でSSL iframeを使用することは安全ですか？ SSLフレームにはフォームが含まれています。

Answer 1

HTTPSが提供するセキュリティの重要な部分は、話しているサーバーのIDの確認です。これはverifying that the certificate is genuine and that it matches the requested host nameによって行われます。

検証の大部分は技術的にブラウザ内で行われますが（PKI検証とホスト名照合の検証）、最後のステップはユーザーインターフェイスの視点であり、ユーザーが視覚的に行う必要があります。ユーザーがHTTPSを使用しようとしているときにHTTPSを正しく使用していることを確認することは、単独の責任です。

https://www.google.com/に行くことを予定していたが、https://www.g-o-o-o-o-o-gle.comと入力した場合、両方とも本物の証明書を持つ可能性があります（誰でも証明書を入手できます、攻撃者でさえ、報酬は価値があります）。ユーザーが訪れる予定のサイトを訪問していることを確認するのはユーザーの責任です。

別のページ内にhttps://リンクを含むiframeを埋め込むことで（HTTPSまたは実際には）、ユーザーは意図したサイトに接続していることを確認できなくなります。ユーザーがページDOMをチェックして、リクエストが彼らが行きたいと思っているホストに行くことを確認することは、非現実的です。この段階で、iframe内のサイトのアイデンティティは、ユーザーがほとんど検証できません。つまり、実際に埋め込み者を信頼する必要があります。

この悪い例は銀行業界からのもので、それ以上のものはありません。これは3-D Secureです。販売者のウェブサイトには、iFrameに銀行が提供するページが含まれており、パスワードを入力してクレジットカードの使用状況を確認するよう求められます。 しかし、ユーザーとしては、管理下のサイトにあなたをリダイレクトして、すべてのリクエストを本物の銀行サイトに委託することができるため、マーチャントサイトに多くの信頼を置く必要があります。それは本物の銀行口座とまったく同じように見えますが、商人（または関連会社）はあなたが入力したすべてを見ることができました。すべてのユーザーがFirebugのような開発ツールを使用することは期待できません（たとえ開発者の場合でも、JSの一部が含まれていると、何が起こっているかを追跡するのが非常に難しい場合があります）。これはちょっと残念ですが、このシステムの目的の1つは、悪い商店街に対する不正行為を正確に防ぐためです。

HTTPSページ内にHTTPS iframeを埋め込む場合は効果的ですそのコンテンツとそれとのやりとりを保証します（他の埋め込みコンテンツと同じように）。ユーザーは、埋め込まれている証明書ではなく、証明書の検証を期待できます。これには一定の責任があります。