Quote Originally Posted by Anemone-aura View Post
すみません。略させていただきます。
モグステーションで使用されているセコムのクレジット情報入力フォームはiframeを使う仕様なのでしょうが、3Dセキュア画面はその仕様ではありません。
現に、他のサイト(例:DLsite.comなど)では、各フォームにそのまま推移していきます。(無論、3Dセキュアのフォームにも推移していきます)
その際、アドレスにてSSL証明の是非が一見して見えることになり、ユーザー視点で見た場合比較的安心できる内容となります。

また、SSL証明に関してもいくつかレスがありましたが、証明可能範囲は証明書に記載したドメインのみ(ワイルドカード指定があればサブドメイン含む)です。
現モグステーションのような、外側:secure.square-enix.com / iframe内:www5.econ.com であれば、外側のsecure.square-enix.comは証明できますが、www5.econ.comの方は範疇外となります。
www5.econ.comの方は、そちらもSSL証明書が存在し、それで証明可能ですがiframeの場合一見してそれを把握することが出来ません。(尚、ecom側はEV SSLではないため組織名は出ませんが)
#ユーザーの検証可能性を下げている。

PCに詳しくない方であればより顕著になることでしょう。
そんな人々にも、証明書による確認が取れていることを見せて決済させるのが、使う側への安心感を生むと考えます。

尚、OWASP(Open Web Application Security Project)が発行するセキュリティ要件定義書にも、iframeは望ましくないとされています。
https://github.com/ueno1000/secreq/b...rements2.0.pdf

更にいえば、このようなお金が絡むものと、Youtubeのiframe表示を同列に考えてはいけません。