5
Quelle est votre solution suggérée pour la menace d'usurpation d'identité de site Web?Comment gérez-vous l'usurpation de site Web/phishing?
A
Répondre
1
La clé de ce problème est d'identifier une différence entre une requête au site réel et une requête au site usurpé.
La différence la plus simple est une préférence d'interface utilisateur basée sur les cookies. Un ensemble de cookies sur votre site (réel) ne sera jamais retourné sur votre site et ne sera jamais envoyé sur un site frauduleux. Maintenant, il existe de nombreuses raisons pour lesquelles le cookie valide peut ne pas être envoyé sur votre site, l'utilisateur peut utiliser un autre ordinateur ou il peut avoir expiré/supprimé des cookies, mais au moins vous pouvez garantir qu'il ne sera pas être envoyé sur le site parodie.
0
Une solution consiste à personnaliser le site Web par utilisateur. L'usurpation d'identité ne fonctionne que lorsque les utilisateurs ont essentiellement la même vue du site (une usurpation - de nombreuses victimes). Donc, si, par exemple, eBay vous permet de configurer une couleur d'arrière-plan personnalisée, vous devriez être en mesure de remarquer que la page que vous regardez est une usurpation d'identité (qui ne connaîtra pas votre choix de couleur). Une vraie solution est un peu plus complexe (comme peut-être un mot clé secret configuré dans le navigateur que seul le navigateur peut rendre dans les contrôles de mot de passe ou dans la barre d'URL, etc.), mais l'idée est la même.
Personnalisez l'interface utilisateur par utilisateur afin que l'usurpation d'identité (qui repose sur la plupart des utilisateurs s'attendant à voir essentiellement la même interface utilisateur) cesse de fonctionner. Il peut s'agir d'une solution basée sur un navigateur, ou de quelque chose que les sites Web proposent à leurs utilisateurs (certains le font déjà).
+0
personnalisation personnelle n'est pas bon - un vrai site ne sait pas qui vous êtes jusqu'à ce que vous êtes connecté, de sorte qu'un phisher prétendant être eux aurait déjà vos informations d'identification. – Alnitak
-1
J'ai vu certains sites qui vous permettent de sélectionner une icône "personnelle". Chaque fois que vous vous connectez, cette icône est affichée comme preuve que vous êtes sur leur site.
-1
Vous pouvez poser une question lorsque la connexion de l'utilisateur (une question que l'utilisateur a écrit avec la réponse).
Vous pouvez afficher une image après le loggin que l'utilisateur a téléchargé, si l'utilisateur ne voit pas son image (privée que lui seul pouvait voir) que ce n'est pas le vrai site Web.
+0
Ces solutions reposent toujours sur vous en entrant votre informations d'identification avant d'obtenir la confirmation que vous êtes sur le bon site. – Gareth
+0
ok où il est écrit dans la question qui doit être avant? –
+0
@Daok: La partie «phishing» du titre (subtile, n'est-ce pas?) - le but de l'hameçonnage est de collecter des informations d'identification en prétendant être un site légitime, n'est-ce pas? –
5
Par définition, toute solution qui repose sur le site que vous montrant des informations personnalisées une fois que vous avez connecté est inefficace contre les phishers. Si vous avez essayé de vous connecter, ils ont déjà réussi! FWIW, je ne connais pas encore la vraie réponse, peut-être que cette question va dégager quelques bonnes idées. Je suis cependant professionnellement impliqué dans la recherche sur l'hameçonnage, les enregistrements de domaines défectueux, etc.
Je ne crois pas qu'il existe une solution technique significative que les développeurs de sites Web peuvent mettre en œuvre. Encore une fois, par définition, si vos utilisateurs arrivent sur un site d'hameçonnage, vous n'avez plus le contrôle. C'est pourquoi toutes les technologies anti-hameçonnage actuelles résident dans le navigateur, et non dans le site phishing.
+0
Non, cela signifie simplement que c'est une mesure efficace contre le pishing pour les sites avec lesquels vous avez déjà un compte. C'est une grande partie de la solution. Le fait qu'il ne résout pas la phase de pré-connexion ne dit rien de son efficacité par la suite. –
1
Je pense que la seule réponse ici est de programmer de meilleures personnes.
Des tâches telles que la personnalisation de l'apparence ou le téléchargement d'une image ne fonctionnent que si l'utilisateur en question reconnaît réellement que ces éléments sont incorrects. Je pense que la majorité des utilisateurs ne reconnaîtrait jamais ces choses, sauf pour les sites qu'ils visitent beaucoup. Même s'ils l'ont fait, ils peuvent l'attribuer à un changement de conception de site Web et non à un hameçonnage.
Questions connexes
- 1. Déploiement de site Web
- 2. Site Web de référence
- 3. Modèle de site Sharepoint: Comment définir le modèle de site par défaut
- 4. comment charger une image de site en anglais, si l'image de site en espagnol n'existe pas
- 5. Site Web multi-site Authentification comme mint.com
- 6. Transfert de site Web
- 7. site Erreur de compilation
- 8. ASP.NET site de publicité
- 9. Comment parvenir à cette génération de titre de ce site
- 10. Création d'une carte de site d'un site FTP
- 11. Comment mieux emballer un site Web
- 12. Comment mieux implémenter la fonctionnalité 'site fermé'?
- 13. comment créer un site Web ASP.Net enfichable?
- 14. Comment créer une vignette d'un site Web?
- 15. comment lire le contenu d'un site web?
- 16. Comment utiliser google map pour mon site?
- 17. Comment démarrer avec un site web PHP?
- 18. Comment configurer le site Sharepoint pour l'intranet?
- 19. Comment construisez-vous un site Q & A?
- 20. Comment bloquer un site programatically utilisant DotNet
- 21. Comment verrouiller une application Flash sur site?
- 22. Comment déployer/publier un site Web ASP.NET?
- 23. Comment publier un site SharePoint sur Internet
- 24. Comment créer un site pour mobile?
- 25. Comment utiliser imagemagick sur le site asp.net?
- 26. Comment modifier l'apparence d'un site Sharepoint?
- 27. Comment modéliser un site multi-blog?
- 28. Rails - comment éviter les scripts cross site
- 29. Comment modifier un site Web à partir d'un site hébergé IIS vers un site hébergé ASP.Net Development Server?
- 30. Inter Site Communication: Comment communiquer les utilisateurs authentifiés enregistrés sur le Site A vers/avec le Site B?
Le problème avec ceci est ce que l'on appelle "l'attaque downgrade". Comment l'utilisateur peut-il faire la différence entre un site d'hameçonnage et un site réel qui, pour une raison quelconque, est incapable d'envoyer le cookie requis? – Alnitak
De la même façon qu'ils le sauraient jamais - en regardant l'URL. Le point serait que sans l'interface utilisateur personnalisée, ils se méfieraient d'entrer leurs informations d'identification – Gareth
En tout cas - en tant que site Web - la seule véritable information que vous pouvez garantir est seulement envoyé à votre site est quelque chose à base de cookies – Gareth