La domanda non è corretta: la fiducia non è binaria. Penso che tu voglia veramente sapere " Come posso decidere quanto fidarti di un particolare sito web? "
Alla fine penso che dipenda da quanto devo avere fiducia in ogni sito in particolare.
I siti di cui devo fidarmi di più (banca, brokeraggio, ecc.) ho una relazione fisica non in linea con. Le aziende che gestiscono tali siti Web hanno una significativa reputazione e presenza offline; Corrispondono con me su alberi morti tramite posta ordinaria e hanno un numero di telefono dove puoi parlare con un umano. Questo è alquanto al di fuori della portata della domanda dal momento che hai detto che l'unica informazione che hai è dal web stesso, ma anche in questo caso puoi verificare la presenza fisica attraverso più vie. (Google, WHOIS, Wikipedia, recensioni online - ad esempio siti web di comparazione bancaria, ecc.) Inoltre, se devo fidarmi "completamente" di un sito - per informazioni finanziarie o altri dati sensibili - allora è improbabile che lo faccia a meno Posso avere un motivo per fidarmi di loro che è supportato da una presenza offline significativa affidabile.
I siti di cui mi fido di meno sono quelli di cui non devo fidarmi. La zona di gioco di JimBob & Happy Fun Time , ad esempio: hmm, dici di avere questo veramente gioco divertente che devo abilitare per giocare a java? Scusa, ma no grazie. (Lo stesso è vero anche per i siti più affidabili che hanno ancora, per esempio, calcolatori finanziari basati su Java che mi piacerebbe usare: posso trovare un'alternativa che non mi esponga ad una superficie di attacco enorme.) p>
In mezzo ci sono siti che devi fidarti alquanto , ma non completamente. In altre parole, potrebbe essere necessario esporsi a qualche rischio. Ad esempio, H & R Block ha una calcolatrice che stima quante tasse devo per l'anno scorso. Devo abilitare lo scripting e il flash affinché la calcolatrice funzioni, e devo inserire dati personali (ad es. Reddito, stato di famiglia) - e deve essere accurato (anche se non perfettamente preciso) per poter ottenere la risposta I volere. Non devo fornire alcuna identificazione, quindi oltre l'esposizione allo scripting e alcuni dati limitati è un rischio accettabile; Posso accedere tramite proxy per nascondere i miei dati dal mio ISP e nascondere la mia posizione dal sito.
Altri siti vogliono raccogliere tonnellate di dati da te, vogliono identificarti personalmente, ecc. e ti danno un servizio in cambio. Facebook o Google, per esempio; in misura minore, Stack Exchange. Io, per esempio, scelgo di diffidare attivamente dei siti onnipresenti: questo richiede uno sforzo poiché devi bloccare più domini tramite NoScript o altri plugin del browser per impedire alla società di tracciarti sul Web. Ho scelto di non usare Facebook. Uso più prodotti Google, ma qui ho scelto di pagare per il loro servizio con i miei dati; Blocco ancora i loro domini di tracciamento quando non utilizzo i loro prodotti.
Il problema in questione nella domanda collegata è se fidarsi di un'immagine ISO di Ubuntu scaricata da un determinato sito web. Sulla base di ciò che ho scritto sopra, penso che la risposta sia che non devi fidarti molto, quindi non dovresti. ("Fidati, ma verifica"). Scarica l'immagine da qualsiasi luogo abbastanza affidabile che non sprechi tempo e larghezza di banda. Probabilmente tirerei il torrent: non devi fidarti di nessun singolo sito. Quindi verifica l'hash tramite più canali: controlla il sito Web di Canonical, controlla altri siti web, utilizza più proxy per controllare tali siti Web (quindi è meno probabile che siano MITM), chiedi su IRC, chiama un amico, ecc.