Come verificare se il sito reindirizzato come OAuth è autentico?

3

Un consiglio di sicurezza comune è quello di aprire siti solo da segnalibri (vedi anche Spiega alla persona esperta non di tecnologia come verificare che la tua connessione a mybank.com sia sicura? ). Questo approccio ha esito negativo se un sito richiede un token di verifica da un altro sito che richiede il login. (Sito A reindirizza l'utente al sito B con la richiesta di autorizzazione come parametro. Utente accede / autorizza la richiesta al sito B. L'utente viene reindirizzato al sito A con un token di verifica come parametro.) Un problema sorge se il sito A reindirizza l'utente a sito di phishing C che sembra simile al sito B e raccoglie le credenziali dell'utente.

Ovviamente l'utente potrebbe in teoria controllare se questo è il sito B e non C. Ma in pratica ci sono molti problemi:

  • controllare ogni personaggio ogni volta è fastidioso e non verrà eseguito dopo alcune volte
  • ci sono molti personaggi simili (omografi)
  • siti di autorizzazione Gli URL sono talvolta diversi rispetto alla pagina principale ed è difficile ricordarli tutti per siti diversi (era my-bank.com / my-bаnk.com / mybank.com / my-bank.org / my-bank-auth.com / auth.my-bank.com?)

Quindi quale è un modo intuitivo per verificare se non stai inserendo le tue credenziali su un sito di phishing quando sei arrivato lì reindirizzato?

    
posta H. Idden 02.02.2016 - 01:09
fonte

1 risposta

1

Tutti i consigli forniti sulla domanda che hai collegato sono già sufficienti per verificare la procedura di accesso anche quando viene utilizzato un provider esterno. Devi solo ripetere il processo su ogni pagina in cui sei reindirizzato.

Se sei preoccupato per gli omogei o gli errori di battitura, allora devi semplicemente controllare il certificato in modo un po 'più dettagliato. La maggior parte dei browser Web (almeno i browser desktop) dispongono di una funzionalità che consente di visualizzare tutti i dettagli pertinenti del certificato di un sito Web, in particolare l'organizzazione a cui è stato rilasciato e le informazioni sull'Autorità di certificazione emittente.

Se il certificato è valido per il server o il dominio specificato, rilasciato a un'organizzazione di cui ti fidi e rilasciato da un'autorità di certificazione rispettabile, puoi essere ragionevolmente sicuro che non hai a che fare con un server di spoofing.

Certo, gli attaccanti possono usare gli omogei o il typo-squatting per far apparire il loro server / dominio come se avesse un nome che la tua banca potrebbe usare. Ma dovrebbero fare di tutto per ottenere un certificato verificato che in realtà sembra essere stato rilasciato alla tua banca da una CA rispettabile. Se riescono davvero ad arrivare così lontano, è improbabile che nessun tipo di verifica venga rilevata da eventuali problemi.

Vieni a pensare che quasi tutti i controlli che potresti eseguire manualmente sul sito o il suo certificato (almeno, qualsiasi controllo che sarebbe "user friendly") è già stato fatto dal tuo browser. Quindi, a meno che il tuo sistema locale non sia già compromesso (a quel punto non importa se sei effettivamente sul sito della tua banca o no comunque), non c'è probabilmente nulla sul sito di un utente malintenzionato che potresti trovare facendo di più controlla quali non sarebbero già stati contrassegnati in rosso dal tuo browser.

Tieni d'occhio quell'icona "blocca", assicurati che non ci siano segnali di avvertimento (i certificati di "Extended Validation" verdi sono ideali, ma strettamente facoltativi) su ogni pagina, e dovresti stare bene.

    
risposta data 15.08.2016 - 23:15
fonte

Leggi altre domande sui tag