Hushmail“安全表格”& HIPAA
我刚刚找到了一份工作,把Hushmail的安全Web表单集成到一个医学网站中。这些表格将把病人(PHI)的数据提交给Hushmail的服务器,对数据进行加密,然后发送到他们的Hushmail电子邮件帐户。通过简单地将表单操作属性更改为https://forms.hush.com/webformname来实现表单路由。
在我看来,这似乎缺乏安全感。首先,医疗网站没有使用SSL,而且在Hushmail的文档中也没有提到SSL对于真正安全的传输是必要的。显然,这些表单提交需要符合HIPAA。在我看来,任何平庸的黑客都可以在数据包被发送到Hushmail并加密之前捕获它。
这安全吗?使用表单的iframe会更安全吗?(它正在使用SSL)我应该说服他们在站点上安装SSL吗?
我一直在尝试阅读HIPAA,但我在为开发人员找到任何技术方面都遇到了困难。欢迎提供任何参考资料。
回答 1
Security用户
发布于 2015-07-10 20:47:14
如果表单的action属性具有https://,,则数据在发送到Hush安全窗体服务器之前将被加密。所以这里的问题不是加密。
但是,托管医疗站点不使用SSL这一事实存在一个问题。当终端用户查看表单时,他无法知道自己是在从医疗站点查看正确的表单,还是在查看由参与MITM或网络钓鱼攻击的恶意第三方呈现的表单。第三方可以提供一个类似于医学网站的页面,但可能在静音表单(例如https://HackersServerInNigeria.net)上有一个不同的操作。在这种情况下,他们的私有数据将被发送到黑客选择的服务器而不是Hush窗体服务器。
此外,在同一页面上混合安全和非安全内容可能会触发浏览器警告。
https://security.stackexchange.com/questions/93465
复制相似问题
腾讯云开发者
