オンラインショッピングのパスワードキーロガーのリスク
オンラインショッピングをしていると、4桁の数字(それに関連するものは何でも)などのカードの詳細を入力するように求められ、PINの数字も入力するように求められます。
これらすべてを入力すると、Javascriptを介してすべてのキーストロークを取得し、パスワードやカードの詳細などを解読できませんか?
オンラインショッピングの安全に関するヒントを探しましたが、セキュリティで保護されたセッション層でサポートされているWebサイトであるかどうかを確認するための記事はほとんどありません。SSLを意味します。ここで、SSLがクライアントブラウザとサーバー間の安全なトランザクションに使用されているため、侵入者が私や何らかの攻撃のふりをしている場合、サーバー担当者自身がこの詳細をキャプチャして複製カードなどを作成し、すべてのお金などを受け取った場合はどうなりますか?
たとえば(Paypal、stripe)のような他のサービスからの送金を使用する場合、OAuth)を使用するため、まったく問題ありませんが、インターネットバンキングの場合はどうなりますか?銀行口座。ショップのウェブサイトサーバーは私のパスワードなどを解読できますか?
ここでいくつかのリスクを混ぜ合わせているのではないかと思います。
あなたがサイトをサーフィンしてそこから商品を購入しているなら、彼らはあなたが彼らのサイトに入力したどんなデータにも必然的にアクセスするでしょう。これには、サイトで使用するユーザー名/パスワードと、サイトでの支払いに使用する支払いカードの詳細が含まれる可能性があります。これは、トランザクションを完了するためにデータを転送する必要があるためです(JavaScriptは必要ありません)
あなたが言うように、彼らが支払いを処理するためにサードパーティのサイト(例えばPaypal)を使用している場合、彼らは支払いサイトのあなたの資格情報にアクセスできますすべきではありませんショッピングサイトからアクセスできます彼らはあなたをPaypalのように見えるがそうではないサイトにリダイレクトするようなことを試みることができます...
銀行の詳細へのアクセスに関しても、銀行サイトでショッピングサイトと同じ資格情報を使用していない限り、銀行の資格情報にアクセスできないようにする必要があります。
SSLは、トランザクションが確実に暗号化されるだけではありません。また、アクセスしているWebサイトのIDを確認します。したがって、これが既知のWebサイトである場合、機密情報を盗むことは、その評判にとってそれほど賢明ではありません。
HTTPSプロトコルを使用して、信頼できるWebサイトにこの種の機密情報を入力するだけです(IDが検証されていることも確認してください)。
ちなみに、JSコードを監査してキーロガーがないことを確認し、ブラウザーから送信された要求を監視して、どの情報がどのサーバーに送信されているかを知ることもできます。