Stavo leggendo i consigli di sicurezza forniti dalla Associazione dei banchieri svedesi . Includevano questi due consigli (la mia traduzione), che presumo sia quello di insegnare all'utente a controllare SSL / TLS e proteggere da striscia SSL:
- Check that it is the address of your bank in the address bar of your browser before you log on to your internet bank.
- The web address on the log on page should start with
https://
and a padlock symbol should be visible in the browser.
Questo è un argomento abbastanza importante, dal momento che alcune banche svedesi servono la loro pagina principale (dove il link alla banca internet è) su HTTP, e nessuno di loro ha implementato l'HSTS. Tuttavia, vedo una serie di problemi con il consiglio dato:
- Come faccio a verificare che sia l'indirizzo della mia banca? Un utente ordinario probabilmente passerebbe la scansione dell'URL per il nome della banca e si accontenterebbe quando lo troverà. Quindi, armato solo di questo consiglio, potresti facilmente cadere per
mybank.com.evil.com/mybank.com
. (Sfortunatamente l'URL per le pagine di accesso spesso non è molto pulito, quindi i clienti si aspetterebbero un URL disordinato.) - "Quindi ricordo che c'era qualcosa con
h
e un paio dip
ot
o qualcosa che dovrei cercare.http://
? Sì, probabilmente era così. Deve essere sicuro." - Cerca il lucchetto nel browser ? Sul serio? Puoi semplicemente includerlo nella pagina, non hai nemmeno bisogno di usare il vecchio trucco di favicon per ingannare qualcuno che legge questo consiglio.
Naturalmente ho iniziato a pensare a quale sarebbe stato un buon consiglio concreto da dare a questo argomento, ma l'ho trovato sorprendentemente difficile. Il consiglio dovrebbe essere (A) breve, (B) facile da ricordare e capire anche per un utente con poca conoscenza tecnica, e (C) si applica a tutti i browser abbastanza moderni. Immagina di avere 30 secondi per spiegarlo a un parente esperto non molto tecnico.
Qualche suggerimento?