Protezione SSL personalizzata Messaggio agli utenti nelle applicazioni Web

2

In alcuni siti web, in particolare nella sezione dei pagamenti, vedo un testo simile a: Sei su una pagina sicura. I tuoi dati personali sono crittografati e protetti dalla tecnologia SSL. Tuttavia sembra un messaggio personalizzato. Pertanto, quando sono attaccato in qualche modo (dal MITM, o con un sito web falsi), sebbene, il mio browser avvisi per un "sito web non sicuro", potrei comunque vedere il testo dal sito web che mi dice di non preoccuparti.

Vorrei chiedere la migliore pratica al riguardo. Devo implementare un meccanismo che controlli se il mio front-end è realmente in protezione SSL prima di stampare questo testo? O è meglio non scrivere qualcosa del genere e lasciare il messaggio di protezione solo al browser?

Grazie in anticipo.

    
posta Pilfility 09.11.2018 - 09:03
fonte

1 risposta

5

Questo è il teatro della sicurezza usato solo per invocare una sensazione di sicurezza calda e confusa nell'utente finale. Hai correttamente capito che un sito fasullo potrebbe anche creare un messaggio del genere. Personalmente non mi piacciono questi messaggi personalizzati facilmente credibili tanto quanto non mi piacciono simili (e anche abusate) dichiarazioni di non responsabilità dei prodotti antivirus nelle e-mail.

Secondo me questi messaggi deviano l'utente dal guardare gli indicatori reali di sicurezza. È meglio non addestrare gli utenti a cercare e fidarsi di tali "indicatori" facilmente falsificabili e invece di insegnare pubblicamente agli utenti come sono realmente affidabili gli indicatori per la sicurezza. Solo alcuni utenti si aspettano già degli indicatori falsi così brillanti e uno potrebbe perdere visitatori se non si sta giocando lo stesso teatro di sicurezza degli altri :( Gli altri utenti potrebbero semplicemente non capire come cercare gli indicatori reali.

Se hai bisogno di giocare questo teatro dipende anche dal tuo caso d'uso specifico e dalle conoscenze e aspettative dei tuoi utenti. Se ne hai bisogno, forse approfitta della possibilità di spiegare agli utenti come sono gli indicatori reali.

    
risposta data 09.11.2018 - 09:34
fonte

Leggi altre domande sui tag