Il sito web Royal Mail è sicuro? [chiuso]


1

Nel Regno Unito il nostro servizio postale lascia cadere le carte attraverso la nostra casella di posta quando vi è una commissione da pagare per un elemento di posta. Su questa scheda ci fornisce un URL da visitare per pagare la quota, dopo aver seguito i link che accedi a questo sito:

http://www.royalmail.com/portal/rm/esurcharge

URL di posta reale

La pagina è sicura

Nell'angolo in alto a destra della pagina si dice "Questa pagina è sicura", infatti questo link va a una FAQ che include il seguente testo:

Tutti i dettagli vengono acquisiti su una rete sicura e conservati in conformità con tutti gli standard di sicurezza e protezione dei dati richiesti nel Regno Unito. Per proteggere i tuoi dati, ti preghiamo di non condividere la tua password con nessuno.

Mi sto perdendo qualcosa:

  • Il sito non utilizza HTTPS (SSL).
  • L'aggiunta della "s" dopo http reindirizza nuovamente al sito non SSL.
  • Sembra che non ci sia nulla in FireFox o IE che indichi che ha persino tentato di utilizzare SSL.
  • A partire da royalmail.com e procedendo fino in fondo ottengo ancora un sito non SSL.

Non ho intenzione di inserire i dettagli della mia carta di credito, tuttavia sono leggermente perplesso sul perché un'azienda così grande si sbaglierebbe in questo modo. Non ci posso credere, potrebbe essere qualcos'altro?

EDIT: è possibile registrarsi sul sito (che è sicuro) e inserire i dettagli della carta di credito / debito che è anche sicuro. Tuttavia, nella maggior parte delle pagine sicure manca il link "Questa pagina è sicura" ... vai in figura.


se la paranoia ha la meglio su di te, puoi sempre "Portare la carta all'ufficio di consegna come indicato sulla commissione per pagare la carta, pagare l'addebito e ritirare l'oggetto. Ricordati di portare un documento di identità" :)

Quando si fa clic su quel collegamento accanto al lucchetto, in realtà non c'è nulla sulla sicurezza nel collegamento. Forse nel processo di metterlo su tutte le loro pagine protette l'hanno accidentalmente gettato lì. Ma quella pagina richiede solo il tuo indirizzo e altri dettagli che non sono informazioni realmente sensibili.
John T,

1
Ho pienamente intenzione di farlo. Non la definirei paranoia, pensavo di impazzire cercando di capire come la pagina fosse sicura.
Richard Slater,

tentare di capire "quanto è sicuro è sicuro" può davvero spingere i tuoi cracker :) e a che serve il sito web più sicuro se ti capita di catturare un keylogger / trojan, dando via i preziosi dettagli? ecco a cosa servono le carte di credito usa e getta.

Se https non è presente in tutto il sito e le "sezioni sicure" non sono separate utilizzando la sicurezza della richiesta di origine incrociata, è sufficiente intercettare una richiesta http sul sottodominio root / common per impiantare un codice JS dannoso (che potrebbe persistere nelle cache o tramite l'addetto all'assistenza).
Vix,

Risposte:


3

Bene, in genere non usi i dettagli della tua carta di credito fino a quando non esegui l'accesso. Il processo di accesso è effettivamente sicuro con la crittografia AES-256 e presumo che sia passato anche quello.


Ti chiede davvero di registrarti con Royal Mail prima di chiedere il pagamento, ironicamente sulla pagina di accesso / registrazione sicura non c'è "questa pagina è un collegamento sicuro".
Richard Slater,

Sì, è abbastanza strano. Consiglio di utilizzare la barra degli indirizzi come indicatore se qualcosa è protetto piuttosto che fidarsi del contenuto delle pagine. Potrebbero aver dimenticato di aggiornarlo.
John T

1

Cordiali saluti alcuni siti in passato (Yahoo dalla memoria) hanno usato Javascript per crittografare i dettagli del modulo prima di trasmetterli su http. Apparentemente aumenta il carico sul server per usare https. Non so se qualcuno usi ancora questa tecnica comunque.


Aumenterebbe davvero il carico sul server Web per utilizzare SSL, poiché ogni pacchetto dovrebbe essere decrittografato.
Richard Slater,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.