Yahoo SignIn Seal è efficace nella prevenzione del phishing? [duplicare]

Naviga le tue risposte
4

Le informazioni sull'efficacia di SignIn Seal di Yahoo sono scarse, il meglio che ho trovato è stato questa sezione sulla voce di Wikipedia su Phishing, sostenendo che "pochi utenti si astengono dall'inserire la propria password quando le immagini sono assenti" e "questa caratteristica [... ] è suscettibile ad altri attacchi "(quale?). Ma anche se gli utenti sono stati attenti, ho dei problemi a capovolgere il concetto.

Come si fa a garantire che il sigillo venga visualizzato solo quando l'utente si trova effettivamente in quel particolare sito? Guardando il codice sorgente dalla pagina di login di Yahoo vedo una miriade di tecniche utilizzate, ma trovo difficile comprendere quali sono i loro scopi e come lavorano insieme per raggiungere il suo obiettivo:

  • JavaScript è usato per verificare se la pagina è o meno in iframe (non mostrare l'immagine se lo è - o se JavaScript è disabilitato);
  • L'immagine inserita ha un token dall'aspetto casuale lungo nella sua src , che presumo sia quella di mantenerlo segreto;
  • L'URL dell'immagine scade molto rapidamente, quindi non può essere rubato e utilizzato altrove.

Cosa potrei dedurre da quanto sopra:

  1. La richiesta della pagina di accesso deve essere stata avviata dal browser dell'utente, altrimenti il cookie che contiene il sigillo non verrebbe inviato;
    • Se l'autore dell'attacco inserisce la pagina in iframe , non può accedere ai suoi contenuti a causa della politica della stessa origine.
    • Allo stesso modo, l'attaccante non può richiederlo tramite Ajax, per lo stesso motivo.
  2. Su richiesta della pagina di accesso, il server prepara un URL univoco per servire quell'immagine (utilizzando il contenuto del cookie - l'immagine non è memorizzata in modo permanente nel server), con un token non accessibile che l'utente malintenzionato non può avere accesso ;
  3. L'immagine verrà visualizzata solo se la pagina determina correttamente che non è in iframe ; quindi, se l'utente vede l'immagine, può essere sicuro che il sito è legittimo.

Il mio ragionamento è corretto? Ci sono attacchi noti a questo schema? (forse qualcosa che coinvolge MitM, ecc.)

    
posta mgibsonbr 16.01.2013 - 01:58
fonte

2 risposte

2

C'è una risposta da qualche parte su questo sito che chiede qualcosa di simile. In sintesi: sebbene gli utenti finali richiedano questa funzione, in realtà non ti protegge affatto.

Un modo intelligente per ingannare un utente in questo scenario è utilizzare SSLStrip e sostituire l'immagine sfida con "server down for maintenance".jpg e la maggior parte degli utenti lo vedrà e accetterà felicemente questo come una sostituzione per l'icona reale che hanno selezionato.

Se riesco a trovare un'altra risposta, pubblicherò un link.

Aggiornamento: questa funzione si chiama SiteKey. Ecco un'eccellente descrizione della soluzione e delle sue vulnerabilità di @ D.W.

    
risposta data 16.01.2013 - 03:33
fonte
2

Mi sembra che l'attacco "corretto" sarebbe quello di emulare il comportamento che si vede quando si tenta di accedere a un browser senza i cookie già presenti. In questo modo si disattiva completamente il "sigillo di accesso", ritornando al comportamento predefinito.

Questa è l'esperienza che gli utenti vedono ogni volta che l'utente avvia un browser diverso o un altro computer o cancella i loro cookie (manualmente o a causa dell'intervento di uno zelante strumento "anti-tracciamento"), quindi l'utente sarà sicuramente familiarità con esso.

Certo, è leggermente diverso da quello che normalmente vedi, ma lo hai visto abbastanza spesso da riconoscerlo come "reale", e non c'è altra via da percorrere che inserire comunque le tue credenziali. Dopotutto, è quello che hai fatto ogni volta che hai visto questa schermata ed è stato il comportamento corretto in ogni altro momento.

Quindi, non infallibile, ma direi che questa tecnologia è almeno un passo nella giusta direzione. Non perfetto, ma si potrebbe sostenere che è meglio di niente (si potrebbe anche sostenere che "non lo è, ma ci si va). Almeno ci stanno pensando; è più avanti rispetto a quando eravamo diversi anni fa.

    
risposta data 16.01.2013 - 02:25
fonte

Leggi altre domande sui tag

CodeIgniter CSRF confusione Come posso proteggere i miei nomi di dominio senza esporre troppe informazioni personali?