web-dev-qa-db-fra.com

Comment décider si un eshop est sûr ou compromis

Donc, j'ai ce problème où je veux acheter un produit wacom spécifique mais leur boutique en ligne eu-store.wacom.com et us-store.wacom.com, même s'il est accessible via https, ne convainc pas mon firefox qu'il est sûr.

Firefox reporting that the connection is not secure

La page d'accueil réelle de Wacom www.wacom.com s'affiche avec un verrou vert approprié et est vérifié par godaddy. Leur eshop est sous le même wacom.com domaine mais la vérification godaddy est manquante.

Mes questions sont les suivantes: pourquoi cette incohérence se produit-elle, comment puis-je vérifier que la page du magasin est bien celle de Wacom et, finalement, est-il sûr pour moi d'acheter des trucs avec ma carte à travers elle?

12
Eternal_Light

Sur eu-store.wacom.com, certaines images de leur CDN Amazon sont demandées via http au lieu de https. Cela peut être résolu en installant HTTPS Everywhere et en activant "Crypter tous les sites éligibles":

enter image description here

Le cadenas gris signifie que toutes les ressources sont servies en toute sécurité. La boutique en ligne n'est donc probablement pas compromise. Ils utilisent toujours un chiffrement obsolète basé sur CBC et SHA1, donc un pouvoir d'État-nation pourrait toujours être en mesure d'intercepter ou même de MITM la connexion.

15
Jenessa

Mes questions sont, pourquoi cette incohérence se produit

Ceci est connu sous le nom de contenu mixte , où la page est chargée avec HTTPS, tandis que certaines parties (images) sont chargées via HTTP non sécurisé.

comment puis-je vérifier que la page du magasin est bien celle de Wacom

Tant que votre système n'a pas été compromis, le seul moyen est d'utiliser HTTPS partout et de visiter l'URL correcte, sinon le HTTP peut être MITM et la réponse retournée pourrait elle-même être une page de phishing.


[~ # ~] note [~ # ~] : - Cette réponse ignore toutes les autres vulnérabilités du Web/navigateur.

puis-je acheter des trucs avec ma carte en toute sécurité?

Eh bien, ils vous redirigeront probablement vers un autre site Web au moment de payer, ce qui pourrait utiliser HTTPS.En dehors de cela, les images peuvent être altérées dans une situation MITM.

Les attaquants peuvent être capables de manipuler des parties de la page, par exemple, en affichant du contenu trompeur ou inapproprié, mais ils ne devraient pas être en mesure de voler vos données personnelles sur le site.

8
Vipul Nair

Sur eu-store.wacom.com, certaines images de leur CDN Amazon sont demandées via http au lieu de https

Permettez-moi de continuer. Firefox dit qu'il n'est pas sécurisé à 100% car il charge du contenu non protégé. Je dirais naïvement ... c'est 95% sécurisé

Maintenant, cela ne signifie pas le site wacom.com n'est pas légitime , mais peut-être mal configuré . Si vous achetez aujourd'hui sur ce site, il est peu probable que vous payiez un escroc prétendant être Wacom , mais voyez plus tard.

Au contraire, le contenu non protégé servi sur http peut être un danger pour Wacom lui-même qui n'a pas configuré correctement sa boutique.

Mis à part ce que les attaquants de niveau gouvernemental peuvent faire, voici quelques exemples de ce qu'un véritable attaquant peut faire lors d'une attaque MitM sur un vieux http:

  • Les images diffusées sur http peuvent afficher autre chose que le produit que vous allez acheter
  • Javascript (et éventuellement CSS) servi sur http peut être modifié et causer tout un préjudice possible, y compris renifler votre numéro de carte de crédit
  • Iframes servi sur http peut être modifié et causer un certain nombre de dommages, mais probablement pas renifler votre numéro CC (corrigez-moi si je me trompe)

Bien sûr, je parle d'un PoV plus théorique sur le protocole.

Donc...

comment puis-je vérifier que la page du magasin est bien celle de wacom?

Oui, ce sont eux. Le site n'est pas compromis, mais vulnérable

est-il sûr pour moi d'acheter des trucs avec ma carte à travers elle

Probablement depuis votre réseau domestique. J'éviterais toujours une navigation sensible sur wifis publique ou Tor sans cryptage approprié

5