Ci sono altri modi per verificare che il server web che stai visitando sia effettivamente quello giusto?
Ad esempio, se il DNS di un nome di dominio è stato ipoteticamente dirottato e gli utenti sono stati indirizzati a un sito di phishing che ne ha preso il posto; quindi non sarebbero nessuno più saggio.
So che SSL lo fa già. Ma ci sono dei modi che non implicano l'uso di SSL?
Non c'è nulla fuori dalla scatola oltre a SSL che lo fa, se tu fossi uno sviluppatore web potresti indirizzarlo programmaticamente progettando in un meccanismo di verifica che comunicherebbe a software client specificamente progettato, o forse un plug-in del browser. Questo sembra un bel po 'di lavoro quando SSL fa già la stessa cosa.
Ci sono stati tentativi di farlo senza crittografia e sono inutili come ci si potrebbe aspettare e suscettibili agli attacchi MiTM. Ricorda quelli "se non vedi l'immagine che hai impostato, non procedere?" Beh, nulla impedisce al MiTM di passare semplicemente attraverso l'immagine.
Abbiamo aggiunto la possibilità per i nostri token software di convalidare un certificato SSL per l'utente, essenzialmente migliorando il processo SSL e combinandolo con un OTP. Anche se potrebbe essere eccessivo per quello che vuoi fare, è disponibile nella nostra Community Edition open-source. Informazioni qui: link .
No, SSL è stato specificamente progettato per affrontare questo problema.
Leggi altre domande sui tag authentication http webserver tls