Kilka witryn (pamiętam, że Yahoo też to zrobił, kiedy korzystałem z mojego konta Yahoo), takie jak Bank of America, pokazują kod SiteKey lub podobny obraz, który użytkownik wybiera po wprowadzeniu nazwy użytkownika, ale przed wprowadzeniem hasła. Pozornie zapewnia to, że strona logowania jest unikalna dla każdego użytkownika, a zatem phisher nie może po prostu pokazać statycznej strony logowania, która wygląda jak strona banku, ale co powstrzymuje ich przed po prostu trafieniem na stronę banku w tle i przesłaniem obrazu (lub inne wyzwanie związane z bezpieczeństwem) prawo do użytkownika? Przyznaję, że praca phisherów jest nieco trudniejsza, ale naprawdę nie wydaje mi się to dla mnie cenne. Jakie są przesłanki tego zachowania?Jakie są korzyści z obrazów zabezpieczeń, na przykład z logowania do witryny banku?
Odpowiedz
Jeśli jeden serwer nadal uderza w swoją witrynę, prosząc o obrazy dla różnych użytkowników (szczególnie tych, z których użytkownicy nie zalogowali się wcześniej), będzie to dość podejrzane, więc trudniej jest ukryć Phishera.
Ten argument nie jest prawidłowy. jest wielu dostawców usług internetowych, którzy oferują prywatny adres IP swoim użytkownikom. jeśli tacy użytkownicy logują się do banku, bank zawsze widzi ten sam adres IP - adres IP swojego usługodawcy internetowego. wygląda bardzo podobnie do phishera – piotrek
Nie byłoby trudno go wyrzucić jako żądanie AJAX (może nawet wyglądać bardziej bezpiecznie dla użytkownika, widząc obraz przychodzi osobno), ale nawet jeśli phisher uruchamia go z własnego serwera (s), obserwowanie wzorców ruchu nie wystarcza - między publicznymi hotspotami, serwerami proxy, botnetami i innymi źródłami IP, phisherzy już dawno uniknęli sprawdzania wzorców ruchu. – dimo414
- 1. Jakie są korzyści z curry?
- 2. Kolekcja dziedzicząca z ObservableCollection - Jakie są korzyści?
- 3. Jakie są korzyści z definiowania metod Go poza definicjami struct?
- 4. Jakie są korzyści z definiowania funkcji w python?
- 5. Jakie są korzyści z niejawny wpisywanie w C# 3.0> +
- 6. Zapisywanie obrazów z witryny internetowej (z watir)
- 7. Korzyści z asertywnego programowania
- 8. Przykład logowania do darta/wylogowania
- 9. Korzyści z generycznych konstruktorów
- 10. Jakie są wady korzystania z danych URI zamiast obrazów ikonek?
- 11. Jakie alternatywne biblioteki logowania Log4j są dostępne?
- 12. Jakie korzyści wynikają z korzystania z progresywnych aplikacji internetowych (PWA)?
- 13. Jakie są korzyści dla klienta Aktualizacja systemu z .NET 2 do .NET 3.5 lub 4
- 14. Nazwa banku z danych karty kredytowej?
- 15. Korzyści z MVC nad MVP
- 16. Jeśli wybiorę RavenDB, jakie korzyści z SQL Server przegrywam?
- 17. Jakie korzyści daje użycie ApplicationContext?
- 18. Jakie są korzyści z usuwania nadmiarowych importu w VB.NET lub C# za pomocą pliku
- 19. Korzyści z przejścia z klasycznego ASMX na wcf
- 20. Jakie korzyści daje Class.new w tym Rspecu
- 21. Dlaczego każda klasa w .Net pochodzi z System.Object? jakie są korzyści?
- 22. Korzyści przy zmianie z JRun 4.0 na Tomcat?
- 23. Prześlij dane logowania do witryny za pomocą js
- 24. Korzyści z wydajności natywnych złączy Apache Tomcat
- 25. Dlaczego potrzebujemy, jakie korzyści wykorzystać mangusta
- 26. Czy są korzyści z bazy danych uwzględniającej wielkość liter?
- 27. Korzyści z używania konstruktora?
- 28. Korzystanie z zabezpieczeń Android KeyChain
- 29. Jakie są zalety JRebel?
- 30. Korzyści z używania podmodulatorów Bower over Git
dobre pytanie dimo414 –
Nie wiem, dlaczego to pytanie zostało zamknięte, ale zredagowałem tytuł, być może brzmi teraz bardziej zachęcająco? Myślę, że jest to uzasadnione pytanie dla SO - chciałbym lepiej zrozumieć ten wzór bezpieczeństwa. – dimo414
Zgadzam się z dimo414 to powinno być otwarte. –