Perché alcuni siti web hanno bisogno di tempo per accedere in sicurezza, mentre altri possono farlo all'istante?

4

Ho notato che su molti siti web relativi ai soldi (banche, paypal, ecc.), vieni indirizzato a una pagina che "ti registra in modo sicuro". Questo è un esempio di uno:

Nel frattempo, i siti web che memorizzano anche informazioni molto delicate , come Google Wallet, Facebook, ecc. (che utilizzano tutti SSL), non usano questa pagina. Qual è il vantaggio di questo e perché viene utilizzato solo su alcuni siti Web?

    
posta Jon 16.04.2014 - 02:46
fonte

3 risposte

2

Come altri hanno notato, gran parte del ruolo dello splash screen è assicurarsi che l'utente veda la parola "in sicurezza" e abbia l'impressione che "qualcosa sia fatto riguardo alla sicurezza". I migliori sistemi di sicurezza sono invisibili (quando non si vede nulla e il business procede senza impedimenti, allora i sistemi di sicurezza sono ottimali), ma il pubblico non lo sa; la attesa sicurezza pubblica si verifica in modo spettacolare. Nella loro mente, gli utenti non si sorprenderebbero se l'uso di un "sito Web sicuro" facesse diventare tutte le luci della stanza rosse, come in un sottomarino.

Se è per questo, l'effetto psicologico può essere indirizzato anche al direttore della banca: ha pagato per un "sito Web sicuro", quindi vuole vedere qualche evento di sicurezza. Quella specie di uomini d'affari senza fronzoli con scarsa conoscenza della tecnologia è ancora prevalente negli strati superiori della gestione.

ci sono alcuni motivi "razionali" che possono spiegare un ritardo. Non sono probabili; la maggior parte dei siti con un ritardo lo fanno ancora solo per il teatro della sicurezza. Ma potrebbero applicarsi in alcuni casi:

  • Il ritardo potrebbe essere dovuto all'avvio in background di qualche applet (Java, Silverlight, ActiveX ...) che ha un processo di inizializzazione lento e tenta in qualche modo di fare un po 'di "sicurezza extra" (come il sistema sarà necessario se vengono utilizzate le firme sul lato client)

  • La verifica di una password utente può comportare uno sforzo di calcolo non trascurabile se l'hashing della password corretta viene utilizzato . Ciò può comportare un certo ritardo, specialmente se viene utilizzato "relief server": la maggior parte dell'hash può essere eseguita lato client, in modo che il server possa gestire senza sforzo centinaia di client. In tal caso, l'hashing procede alla velocità del client (Javascript ...), quindi l'operazione può richiedere alcuni secondi.

  • Il server potrebbe voler impedire massicci attacchi dizionario imponendo un ritardo di alcuni secondi tra due qualsiasi richieste dallo stesso IP e / o per lo stesso account. Questo ritardo può essere reso intrinseco se viene utilizzato un sistema di prova del lavoro (ma, ancora una volta, Javascript non aiuterà).

  • Il ritardo potrebbe essere necessario affinché il server possa aprire tunnel a un gruppo di vecchi sistemi legacy in cui si trovano effettivamente i dati bancari. Il software bancario deve rispettare rigorosamente un numero enorme di regole, comprendente sia il comportamento effettivo del codice (in particolare problemi di arrotondamento) sia la metodologia di sviluppo (audit indipendente dalla linea e così via); la conseguenza è che tale software non viene creato spesso, e i vecchi sistemi tendono a indugiare molto. L'ultima volta che ho sentito, molte banche stanno ancora utilizzando OS / 2 . Convincere tutti questi sistemi per accendere e trovare i dati di alcuni utenti può richiedere qualche secondo ... Se il sistema sarà lento, quale migliore scusa se affermare che è "per sicurezza"?

risposta data 16.04.2014 - 13:20
fonte
4

Security Theatre

Questa schermata iniziale non è necessaria per l'utente, ma la società ha scelto di introdurre una schermata iniziale che mostra che ritengono che la sicurezza sia importante e che affermano che si suppone che stiano facendo "sicurezza".

L'unica cosa buona qui è che pensano che la sicurezza sia importante per loro e per i loro clienti.

La maggiore sicurezza (ssl / https) dovrebbe essere già presente in questa fase comunque.

Se la loro procedura di accesso è lenta, si tratta di una questione diversa, ma questa schermata di spst interstiziale potrebbe migliorare l'esperienza utente.

Spiegazione alternativa:

Potrebbero interrogare un database di password di back-end sui loro sistemi mainframe. Le banche hanno vecchi sistemi crufty con limiti interessanti.

    
risposta data 16.04.2014 - 07:10
fonte
0

Potrei sbagliarmi, ma sospetto che questo sia solo un camuffamento per qualche altro processo che è lento. Configurare una connessione SSL, come si nota, è in genere molto veloce. Ad esempio, TurboTax fa esattamente quello che descrivi, ma penso davvero che stiano inventando qualcosa di fattibile per il pubblico quando eseguono l'autenticazione e recuperano i dettagli dell'account.

In realtà non è falso - stanno davvero configurando la connessione, ma penso che sia un po 'fuorviante: la chiave SSL 2048 bit su www.paypal.com non offre più protezione crittografica di la chiave SSL 2048 bit utilizzata su www.facebook.com.

    
risposta data 16.04.2014 - 06:58
fonte

Leggi altre domande sui tag