Come faccio a scegliere se fidarmi di un particolare sito web?

Sono state condotte interessanti ricerche sulle metriche di fiducia: Metriche di attendibilità resistenti agli attacchi , Un modello per analisi delle metriche attendibili , Come incorporare le informazioni sullo stato di revoca nelle metriche di affidabilità per la certificazione a chiave pubblica

Il concetto di base è la costruzione di una serie di link da te al tuo obiettivo. Sfortunatamente i siti web non incarnano la fiducia. Le persone sono gli autori di fiducia appropriati. Questo concetto si perde facilmente nell'era moderna in cui la tecnologia viene descritta come sterile e scollegata dai suoi creatori e produttori.

Tuttavia tutti i siti web sono fatti da persone, almeno per quanto ne so. Il problema su alcuni siti è che il creatore del contenuto non è sempre riconosciuto. I collegamenti non sono garantiti per.

Un principio che applico quando cerco di acquisire confidenza in un dato è la diversità della fonte. Se cerco una valutazione su uno strumento, cerco di ottenere opinioni da esperti, appassionati di maturità e da pubblicazioni.

Ad esempio, se fossi interessato all'acquisto di una nuova fotocamera, guarderei i forum degli utenti, i blog professionali e le riviste che riguardano la fotografia. Naturalmente ogni gruppo potrebbe fornire opinioni errate o fuorvianti, ma la probabilità che almeno due siano errate o fuorvianti è inferiore alla probabilità che qualsiasi gruppo sia sbagliato o fuorviante.

Si noti che questo non mi garantisce buoni risultati. Ti dà solo un livello più alto di garanzia che la valutazione sia corretta.

In secondo luogo dedico più risorse alla raccolta di valutazioni su dati di alto valore. Non tutte le domande meritano una valutazione approfondita. Le opinioni su cui il web comic ti farà ridere non richiedono più controlli perché puoi banalmente confermare il reclamo. Allo stesso modo, gli acquisti inferiori a $ 20 negli USA raramente richiedono molto, a meno che non abbiano un impatto sulla mia salute o sicurezza. cioè il generico antidolorifico è sicuro quanto l'assunzione di un marchio generico? oppure Devo acquistare l'unità flash USB dal distributore A o dal distributore B?

Credo nella fertilizzazione incrociata tra le fonti di informazione. La maggior parte di essi inizia su Internet, ma abbiamo sempre più modi per collegare risorse virtuali (ad esempio siti Web) con il mondo fisico. Di seguito sono riportati alcuni modi che uso per vedere se posso fidarmi di un sito web. Spero che aiuti:)

• Il sito sembra creato professionalmente?
• Il sito ha un certificato? È valido? Tieni presente che i certificati non validi sono purtroppo molto comuni.
• Se nel sito è presente una parte di accesso / e-business, sta utilizzando SSL?
• Trovo qualche feedback positivo / negativo su questo sito web sui forum / mailing list?
• Le informazioni di whois.net mi forniscono informazioni che lo farebbero aiutami a fidarmi del proprietario dello spazio dei nomi?
• Nella sezione contatti del sito web se esiste un indirizzo? Utilizzando un motore di ricerca, posso trovare altre attività commerciali allo stesso indirizzo? Posso trovare un numero di telefono di un'altra società per verificare se il sito è legittimo?
• Posso vedere l'edificio su Google Street View? Questo edificio mi dà fiducia?

Un po 'più avanzato:

• Se esiste una funzione di accesso, funzionano le tecniche di iniezioni semplici?
• Navigando nel codice HTML / JavaScript, vedo qualche motivo per non fidarmi di quel sito web? Qui sto cercando difetti di controllo degli accessi visibili, logging e password memorizzati ...
• Se il sito web utilizza un CMS (ad esempio wordpress, SPIP) è una versione "sicura"?

La domanda non è corretta: la fiducia non è binaria. Penso che tu voglia veramente sapere " Come posso decidere quanto fidarti di un particolare sito web? "

Alla fine penso che dipenda da quanto devo avere fiducia in ogni sito in particolare.

I siti di cui devo fidarmi di più (banca, brokeraggio, ecc.) ho una relazione fisica non in linea con. Le aziende che gestiscono tali siti Web hanno una significativa reputazione e presenza offline; Corrispondono con me su alberi morti tramite posta ordinaria e hanno un numero di telefono dove puoi parlare con un umano. Questo è alquanto al di fuori della portata della domanda dal momento che hai detto che l'unica informazione che hai è dal web stesso, ma anche in questo caso puoi verificare la presenza fisica attraverso più vie. (Google, WHOIS, Wikipedia, recensioni online - ad esempio siti web di comparazione bancaria, ecc.) Inoltre, se devo fidarmi "completamente" di un sito - per informazioni finanziarie o altri dati sensibili - allora è improbabile che lo faccia a meno Posso avere un motivo per fidarmi di loro che è supportato da una presenza offline significativa affidabile.

I siti di cui mi fido di meno sono quelli di cui non devo fidarmi. La zona di gioco di JimBob & Happy Fun Time , ad esempio: hmm, dici di avere questo veramente gioco divertente che devo abilitare per giocare a java? Scusa, ma no grazie. (Lo stesso è vero anche per i siti più affidabili che hanno ancora, per esempio, calcolatori finanziari basati su Java che mi piacerebbe usare: posso trovare un'alternativa che non mi esponga ad una superficie di attacco enorme.) p>

In mezzo ci sono siti che devi fidarti alquanto , ma non completamente. In altre parole, potrebbe essere necessario esporsi a qualche rischio. Ad esempio, H & R Block ha una calcolatrice che stima quante tasse devo per l'anno scorso. Devo abilitare lo scripting e il flash affinché la calcolatrice funzioni, e devo inserire dati personali (ad es. Reddito, stato di famiglia) - e deve essere accurato (anche se non perfettamente preciso) per poter ottenere la risposta I volere. Non devo fornire alcuna identificazione, quindi oltre l'esposizione allo scripting e alcuni dati limitati è un rischio accettabile; Posso accedere tramite proxy per nascondere i miei dati dal mio ISP e nascondere la mia posizione dal sito.

Altri siti vogliono raccogliere tonnellate di dati da te, vogliono identificarti personalmente, ecc. e ti danno un servizio in cambio. Facebook o Google, per esempio; in misura minore, Stack Exchange. Io, per esempio, scelgo di diffidare attivamente dei siti onnipresenti: questo richiede uno sforzo poiché devi bloccare più domini tramite NoScript o altri plugin del browser per impedire alla società di tracciarti sul Web. Ho scelto di non usare Facebook. Uso più prodotti Google, ma qui ho scelto di pagare per il loro servizio con i miei dati; Blocco ancora i loro domini di tracciamento quando non utilizzo i loro prodotti.

Il problema in questione nella domanda collegata è se fidarsi di un'immagine ISO di Ubuntu scaricata da un determinato sito web. Sulla base di ciò che ho scritto sopra, penso che la risposta sia che non devi fidarti molto, quindi non dovresti. ("Fidati, ma verifica"). Scarica l'immagine da qualsiasi luogo abbastanza affidabile che non sprechi tempo e larghezza di banda. Probabilmente tirerei il torrent: non devi fidarti di nessun singolo sito. Quindi verifica l'hash tramite più canali: controlla il sito Web di Canonical, controlla altri siti web, utilizza più proxy per controllare tali siti Web (quindi è meno probabile che siano MITM), chiedi su IRC, chiama un amico, ecc.

Il mio approccio a fidarsi di un sito Web è davvero una sorta di rete di fiducia. Ad esempio: quando ho sentito parlare di un software che voglio utilizzare, ma non conosco l'URL, non mi fido dei risultati di googles. Quelli potrebbero essere falsificati, a causa di SEO o pagerank pagati.

La mia rete di fiducia in questo caso è Wikipedia. Naturalmente un link su Wikipedia può essere falsificato, ma è più improbabile. Solo perché meno persone scelgono in questo modo e più persone controllano i link authenticy.

E ovviamente anche una pagina collegata da una pagina di cui mi fido è probabile che sia considerata attendibile.

Penso che la mia vista sia una combinazione di quanto sopra

• generalmente fidandosi di determinati siti chiave e della loro valutazione del sito in questione
• utilizzo di plug-in e strumenti (es. NoScript, SafeSearch)
• un buon antimalware
• reputazione di persone di cui mi fido
• budello

Dipende ovviamente da cosa vuoi fare con il sito. Considero principalmente questo tipo di cose prima di acquistare qualcosa da loro o di mettere i dettagli personali in un modulo sul sito.

Le mie decisioni personali tendono a ruotare attorno al sito

• È noto nel suo campo (ad esempio eBay, Amazon ecc.)
• Sembra ben progettato e mantenuto (quindi punti negativi per i classici siti ASP o Perl CGI per esempio)
• Utilizza SSL o EV SSL.

Un altro fattore importante per gli acquisti è se devo effettivamente inserire i dati della mia carta di credito nel sito. Sono molto meno preoccupato per il sito quando prende Paypal o mi porta a un noto portale mercantile come Worldpay, quindi il sito non può vedere i miei dettagli CC. Viceversa se il sito offre la possibilità di archiviare i miei dettagli CC per acquisti successivi, sarebbe estremamente improbabile utilizzare questa funzione a meno che non sia molto sicuro del loro probabile livello di sicurezza (nel mio caso c'è un solo sito su cui ho usato Amazon), e in effetti un sito più piccolo che offre quella struttura mi rende un po 'nervoso per il sito in generale.

Ho fiducia in siti di cui molte persone si fidano. Le conseguenze degli attacchi sono tanto più attenuate se ci sono molte vittime. In un contesto aziendale, ciò si traduce nel seguente: non è un problema (per me !) Essere attaccato fino a quando la maggior parte (o tutti) i miei concorrenti vengono attaccati allo stesso modo. In una certa misura, non essere attaccati quando i concorrenti sono, potrebbe essere un fallimento tattico e aumentare il sospetto.

Questa è una tendenza generica. Questo sostiene l'uso di Windows su server, invece di, ad esempio, NetBSD: qualsiasi lacuna di sicurezza intrinseca a Windows sarà presente su milioni di altri server, che diluisce gravemente qualsiasi potenziale colpa. Allo stesso modo, dovresti conservare nel tuo browser il set standard di certificati radice, perché "è quello che fanno tutti": se una CA disonesta consente una frode su larga scala, ci sarebbero così tante vittime che le banche sarebbero costrette a prendere un ragionevole, amabile presa di posizione.

In un mondo di lupi e pecore, la salvezza delle pecore sta in gran numero: attaccati alla mandria. Non cercare di essere un lupo se non te lo puoi permettere.

Sto prendendo in considerazione l'utilizzo di tecniche semplici come l'installazione di WOT add-one per conoscere la reputazione di un particolare sito. Se il sito ha più reputazione, allora ha meno possibilità di problemi di sicurezza.