eショップが安全か侵害されたかを判断する方法
だから、私は特定のワコム製品を購入したいが、彼らのオンラインストアeu-store.wacom.comおよびus-store.wacom.comはhttps経由でアクセスされていますが、Firefoxが安全であることを確信していません。
実際のwacomホームページwww.wacom.comは適切な緑色の鍵が表示され、godaddyによって確認されます。彼らのeショップは同じwacom.comドメインですが、godaddy検証がありません。
私の質問は、なぜこの矛盾が発生しているのか、ストアページが本当にwacomのものであることをどのように確認できるのか、そして最終的に、カードを使って商品を購入しても安全かどうかです。
オン eu-store.wacom.com、Amazon CDNの一部の画像がhttpsではなくhttp経由でリクエストされます。これは HTTPS Everywhere をインストールし、「有効なすべてのサイトを暗号化」をオンにすることで解決できます。
灰色の南京錠は、すべてのリソースが安全に提供されることを意味します。そのため、ウェブストアはおそらく侵害されていません。彼らはまだCBCとSHA1に基づく古い暗号を使用しているため、国の権力が接続を傍受したりMITMにさえできる可能性があります。
私の質問は、なぜこの矛盾が起こっているのですか
これは mixed-content と呼ばれ、ページはHTTPSでロードされますが、一部のパーツ(画像)は安全でないHTTP経由でロードされます。
ストアページが本当にwacomのものであることを確認するにはどうすればよいですか
システムが危険にさらされていない限り、唯一の方法は、どこでもHTTPSを使用して正しいURLにアクセスすることです。そうしないと、HTTPがMITMになり、返される応答自体がフィッシングページになる可能性があります。
[〜#〜]注[〜#〜]:-この回答は、他のすべてのWeb /ブラウザの脆弱性を無視します。
カードを使ってアイテムを購入しても安全ですか?
まあ彼らはおそらく、HTTPSを使用する可能性のある支払いの時間になると、別のWebサイトにリダイレクトします。MITMの状況では、画像は改ざんされる可能性があります。攻撃者ができることのほとんどは、
攻撃者は、誤解を招くコンテンツや不適切なコンテンツを表示するなどして、ページの一部を操作することができますが、サイトから個人データを盗むことはできません。
Eu-store.wacom.comでは、Amazon CDNの一部の画像がhttpsではなくhttp経由でリクエストされます
それから続けましょう。 Firefoxは、保護されていないコンテンツを読み込んでいるため、100%安全ではないと述べています。簡単に言えば...95%安全です
さて、それは意味しないサイトwacom.comは正当なではありませんが、おそらく誤って構成されています。そのサイトから今日購入した場合、詐欺師がWacomになりすまして支払いをしている可能性は低いですが、後で参照してください。
逆に、httpを介して提供される保護されていないコンテンツは、ストアを正しく構成しなかったWacom自身にとって危険な場合があります。
政府レベルの攻撃者が実行できることとは別に、実際の攻撃者がプレーンな古いhttpに対するMitM攻撃に対して実行できることの例をいくつか示します。
- Httpを介して提供される画像には、購入する製品以外のものが表示される場合があります
- Http経由で提供されるJavaScript(およびおそらくCSS)は変更され、any危害を及ぼす可能性がありますクレジットカード番号の盗聴を含む
- http経由で提供される
Iframesは変更される可能性があり、多くの損害を引き起こす可能性がありますが、おそらくCC番号を盗聴しないでください(間違っている場合は訂正してください)
もちろん、私はもっとプロトコル理論的なPoVから話しています。
そう...
ストアページが本当にwacomのものであることを確認するにはどうすればよいですか?
はい、彼らです。サイトは侵害されていませんが、脆弱です
カードを使ってアイテムを購入しても安全ですか
おそらくあなたのホームネットワークから。適切な暗号化なしでは、公共のwifisやTorの機密の閲覧を常に避けます