[英]is it safe to fetch an image on plain http on a bank's homebanking website?
我在這里問的不是https://security.stackexchange.com/,因為我不認為這個問題是專業的。
我剛剛在我的銀行的網站上看到了一些奇怪的東西,他們正在使用http而不是https從另一個域中獲取圖像,在firefox上它會引發一個安全的“混合內容”警報,在chrome上,它只會在安全標簽上顯示一個警報。
這是網站: https : //www.bancoprovincia.com.ar/Principal/BipPersonal
不安全的內容(圖像)恰好在用戶登錄其家庭銀行之前的頁面上,我擔心某些攻擊者可能會攔截該內容並將其替換為可能帶來安全風險的內容。
這是否對銀行及其客戶構成安全風險?
這不是直接的漏洞,但仍然是不好的做法。
我想到了一些風險:
有權訪問用戶連接(中間位置的人)的攻擊者可以用惡意的圖像替換該圖像,從而利用瀏覽器或操作系統圖像處理器庫中可能存在的零日漏洞(至今未知)。 這可能導致在客戶端上執行遠程代碼。
替換圖像也可以用於促進網絡釣魚。 惡意圖片可能會由於某種問題等原因使用戶呼叫電話號碼。
這是信息泄漏。 攻擊者可能會收到有關用戶瀏覽銀行網站的信息,而且,如果圖像位於所有頁面上的標頭中,則攻擊者可能會收到有關用戶行為的信息。 對於每個甚至通過https鏈接其圖像的外部站點,從本質上來說就是這種情況,但是通過http鏈接也適用於任何MitM攻擊者。
這是一個潛在的可用性問題。 如果外部站點上的圖像超時(等待時間太長,無法下載),則該頁面將無法在某些瀏覽器中加載一段時間,攻擊者可能會利用它。 但是,我認為這不受在純http上投放的圖片的影響,它也會影響外部鏈接的https圖片。
這也是非常不好的做法,因為與其像經常檢查瀏覽器指示安全的網站那樣,不像在用戶中那樣加強良好的安全性做法,而是告訴他們是否有警告。 它不是。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.