HTTPS提供的安全性的一个重要部分是验证您正在与之通信的服务器的身份.这是通过验证证书是否为正版并且与所请求的主机名匹配来完成的.
虽然验证的大多数方面都是在浏览器中进行技术性的(PKI验证和主机名匹配验证),但最后一步是用户界面的观点,必须由用户直观地完成.检查用户在打算使用HTTPS时是否正确使用HTTPS完全是他们的责任.
如果您打算去https://www.google.com/,但打字https://www.g-o-o-o-o-o-gle.com,两者都可以有真正的证书(现在任何人都可以获得证书,即使是攻击者,奖励也值得投资).这取决于用户确保他们访问他们打算访问的网站.
通过https://在另一个页面中嵌入带有链接的iframe (实际上是HTTPS或不是),您将阻止用户验证它们是否连接到预期的站点.期望用户检查页面DOM以确保请求发送到他们期望它去的主机是不现实的.在这个阶段,用户几乎无法验证iframe中站点的身份:他们真的必须信任嵌入器.
一个很好的例子来自银行业,不过没有,这给了我们3-D Secure.商家网站应包含您的银行在iframe中提供的页面,要求您输入密码以检查信用卡的使用情况.但是,作为用户,您必须对商家网站投入大量信任,因为它可以很好地将您重定向到其控制下的网站,并将所有请求代理到真正的银行网站.它看起来就像真正的银行网站,但商家(或同事)可以看到你输入的所有内容.并非每个用户都可以使用像Firebug这样的开发人员工具(即使对于开发人员来说,如果涉及到一些JS,也很难跟踪发生的事情).(这有点遗憾,因为这个系统的目标之一就是不幸地防止对坏商家网站的欺诈.)
如果您在HTTPS页面中嵌入HTTPS iframe,则可以有效地保证其内容及其与之交互(就像您嵌入的任何其他内容一样).用户只能验证您的证书,而不是嵌入的证书.这带来了一定的责任.
| 归档时间: |
|
| 查看次数: |
847 次 |
| 最近记录: |