Grooveshark接受信用卡而不是https？

Question

我想知道grooveshark是怎么绕过它的。

他们通过没有通过https加密的连接接受信用卡。

他们是否做了什么让这个安全，或者我不应该在购买grooveshark anywhere订阅时向他们提交我的信用卡详细信息？

Answer 1

信用卡信息的传输确实发生在HTTPS上。如果您使用Google工具中包含的网络记录器，您将看到您发送的请求实际上包含了您的个人信息，并将发送到https://网址。

然而，这只是故事的一半:表单页面，您输入的信息不是通过安全连接发送的。虽然加密实际的信用卡信息足以保护您免受被动网络窃听者的攻击(并且足以满足相关的信用卡法规)，但不足以保护您的信息不受攻击者在传输过程中操纵Grooveshark的页面数据的攻击。想象一下这个场景：

Grooveshark发送带有表单的HTML页面，这样您就可以输入您的信用卡信息。此页面上的代码将通过HTTPS安全地将您的信用卡信息提交给Grooveshark。但是，攻击者会在页面到达之前拦截该页面，并更改页面上的代码以将您的信用卡信息发送到另一个目的地(想必是由攻击者控制的)。

一个现实世界的类比是，如果我经营一本杂志，并给出带有我地址的特殊安全信封给你，你可以寄钱申请订阅。我不是以安全的方式分发它们，而是把它们放在公共场合，让任何人拿走。然后，一个邪恶的人走了过来，把我信封上的投稿地址改成了他自己的家庭地址，所以当有人在订阅邮件时，它就交给他了。

有人在主动干扰你的互联网连接吗？也许不会，但遗憾的是，这是不可能说的，因为你的互联网信息是在一个基础设施上传递了无数的跳跃，而这个基础设施原本并不是为了安全而设计的。

Answer 2

接受信用卡需要https，所以只有当您单击submit时才可能使用https。您可以通过查看页面源并查看表单提交的位置来检查此选项。