Si può mostrare in modo affidabile lo stato HTTPS nel browser (non solo il blocco nella barra degli URL)?

No, questo non è possibile. Qualsiasi cosa tu mostri su una pagina web può essere manipolata facilmente, usando cose come Javascript e quindi non ci si può fidare.

Il lucchetto sul browser è l'unica indicazione affidabile che HTTPS sta lavorando su una pagina.

Bene, puoi fare in modo che una pagina Web mostri un messaggio di bell'aspetto che affermi che "sì, questa pagina è sicura, tutto va bene", ma non puoi impedire che una pagina Web falsa mostri il la stessa identica cosa, fino all'ultimo pixel. Se i giudici usassero, come testimone unico, il criminale stesso, allora le prigioni sarebbero vuote ...

La barra dell'URL e l'icona del lucchetto sono sotto il controllo del browser , non della pagina, e dovrebbero essere immuni dalla manipolazione dalla pagina (almeno, il nome del server nella barra degli indirizzi dovrebbe essere immune da manipolazioni).

(La mia banca, quando mi collego al suo sito Web, genera un bel popup con un grande lucchetto in esso. Questo è puramente cosmetico, non aggiunge nulla alla sicurezza, perché un sito di banca finto genererebbe lo stesso popup. In realtà mi sento leggermente insultato da quel popup.)

La tua pagina web potrebbe visualizzare una bella e grande freccia che punta a dove DOVREBBE essere il lucchetto nel browser, e ricordare loro che dovrebbe essere verde, e il sito web dovrebbe essere domain.com (o qualcosa di più appropriato come l'icona di un punto interrogativo da qualche parte di buon gusto che spiega dove dovrebbero vedere il lucchetto nel browser ecc.

L'unica cosa che posso pensare sarebbe un plugin firmato del browser che installano come un plugin che potrebbe mostrare qualcosa in un modo che il sito web non potrebbe, ma che è probabilmente troppo elaborato. Qualunque cosa sulla pagina stessa potrebbe essere falsificata e persino tentare di farlo potrebbe ridurre la sicurezza, poiché istruirà le persone a cercare prove di sicurezza in un posto diverso da quello universalmente corretto per farlo all'interno del loro browser. (Poiché potrebbero vedere il tuo indicatore e non preoccuparsi di controllare l'icona del lucchetto.)

Se vuoi assicurarti che si connetteranno solo al tuo sito legittimo, potresti prendere in considerazione l'autenticazione a due fattori o l'autenticazione reciproca basata su certificati. Se non funziona, non è legittimo.

Inoltre, tieni presente che può esserci una differenza tra una connessione sicura e una connessione all'host corretto. Puoi fare in modo che un utente malintenzionato esegua un sito spoofato su HTTPS (anche se piuttosto improbabile), che sia sicuro, ma non legittimo.

Ci sono molte aziende che offrono "sigilli di sicurezza", ma come notato in alcune altre risposte, queste possono essere simulate. Alcuni di loro faranno clic su un fornitore, ma poi l'utente deve sapere che anche la terza parte è affidabile. È un bel trucco, ma in realtà non fornisce alcuna garanzia in più in una situazione in cui non hai fiducia di base. Ci sono anche cose come Web Of Trust, dove puoi vedere le valutazioni di altre persone, ma di nuovo devi aver fiducia in loro.

Come interessante nota a margine, tuttavia, la ricerca ha dimostrato che le persone non hanno davvero alcun concetto di pagina rispetto al browser chrome. La maggior parte degli utenti non è più incline a fidarsi del blocco nel chrome, rispetto a una bella immagine nella pagina del browser. Gli utenti finali generali non si preoccupano della sicurezza o non lo sanno. Anche se guardano i dettagli del certificato, non sanno cosa fare con loro. Se metti le istruzioni sulla pagina per controllare, ancora una volta, un utente malintenzionato potrebbe fingere la stessa cosa, sostenendo di "ignorare il fatto che il nome non corrisponde al nostro, è perché sono il nostro agente registrato".

Whalen, T. e Inkpen, K. M. (2005). Raccolta di prove: uso di segnali di sicurezza visiva nei browser Web. In Proceedings of Graphics Interface 2005, GI '05, pagine 137-144, School of Computer Science, Università di Waterloo, Waterloo, Ontario, Canada. Canadian Canadian Human-Computer Communications Society.

Sunshine, J., Egelman, S., Almuhimedi, H., Atri, N. e Cranor, L. F. (2009). Lupo piangente: uno studio empirico dell'efficacia degli avvisi SSL. In Atti della 18a conferenza sul simposio sulla sicurezza USENIX, SSYM'09, pagine 399-416, Berkeley, CA, USA. Associazione USENIX.

Un altro esempio potrebbe essere quello di mettere un messaggio sul tuo sito per un download per dire agli utenti di ignorare gli avvisi di sicurezza sul codice non firmato, ecc. e di continuare comunque l'installazione.

Probabilmente non è la risposta che stai cercando, ma potresti prendere in considerazione un certificato di convalida esteso. Fa una evidente differenza visiva quando è connesso via SSL anche se la rappresentazione visiva varia tra i browser.

Ad esempio:

Se per te è importante che gli utenti accedano sempre al tuo sito tramite HTTPS, inizia a impostare le intestazioni Strict Transport Security e poi < a href="https://hstspreload.appspot.com/"> invia per hardcoding nei browser .

Pur non essendo perfetto, è AFAIK la misura di tecnica (contro l'istruzione) più strong che puoi prendere.

(Insieme ai rischi attenuanti come il dirottamento dei cookie se un utente visita su HTTP)