Autenticità del sito / verifica senza SSL

2

Ci sono altri modi per verificare che il server web che stai visitando sia effettivamente quello giusto?
Ad esempio, se il DNS di un nome di dominio è stato ipoteticamente dirottato e gli utenti sono stati indirizzati a un sito di phishing che ne ha preso il posto; quindi non sarebbero nessuno più saggio.

So che SSL lo fa già. Ma ci sono dei modi che non implicano l'uso di SSL?

    
posta Ben Poulson 20.11.2013 - 10:35
fonte

3 risposte

7

Non c'è nulla fuori dalla scatola oltre a SSL che lo fa, se tu fossi uno sviluppatore web potresti indirizzarlo programmaticamente progettando in un meccanismo di verifica che comunicherebbe a software client specificamente progettato, o forse un plug-in del browser. Questo sembra un bel po 'di lavoro quando SSL fa già la stessa cosa.

    
risposta data 20.11.2013 - 11:37
fonte
2

Ci sono stati tentativi di farlo senza crittografia e sono inutili come ci si potrebbe aspettare e suscettibili agli attacchi MiTM. Ricorda quelli "se non vedi l'immagine che hai impostato, non procedere?" Beh, nulla impedisce al MiTM di passare semplicemente attraverso l'immagine.

Abbiamo aggiunto la possibilità per i nostri token software di convalidare un certificato SSL per l'utente, essenzialmente migliorando il processo SSL e combinandolo con un OTP. Anche se potrebbe essere eccessivo per quello che vuoi fare, è disponibile nella nostra Community Edition open-source. Informazioni qui: link .

    
risposta data 22.11.2013 - 16:34
fonte
0

No, SSL è stato specificamente progettato per affrontare questo problema.

    
risposta data 20.11.2013 - 11:24
fonte

Leggi altre domande sui tag