La richiesta di credenziali da un dominio fidato separato è una pratica accettabile?

2

Conosco almeno due pagine che avrei immaginato fossero uno schema di phishing se non avessi saputo di meglio.

Serverfault.com è un sito di scambio di stack su un dominio diverso, tuttavia se fai clic per accedere con lo scambio di stack, non ti reindirizza, ti chiede solo l'accesso utente / passaggio.

La community di Steam fa la stessa cosa. È perfettamente legittimo, ma è un dominio diverso da quello della pagina ufficiale del vapore.

La mia prospettiva su questo è che questo è male. Se mi viene richiesto di inserire le mie credenziali di Facebook, mi aspetto di vedere il dominio facebook.com. Lo stesso per il vapore, lo stesso per lo scambio di pile.

Questo è il consiglio che ho dato a tutti per il tempo più lungo, e gli amici mi hanno effettivamente chiamato sulla comunità del vapore, dove ho dovuto scavare per scoprire se si trattava di un sito legittimo o meno. p>

Questa è una pratica valida? Puzza molto in alto.

    
posta Andrew Hoffman 01.07.2014 - 22:15
fonte

1 risposta

2

Il rovescio della medaglia è che un XSS in un sito ti dà accesso a tutto sulla stessa origine. Pertanto, se un utente malintenzionato trova un XSS ovunque in example.com, può utilizzarlo per rubare le credenziali di accesso da example.com/login. Con un dominio di accesso separato e cookie HttpOnly, questo è significativamente mitigato. (Ovviamente, è necessario un modo per trasferire le credenziali dal dominio di accesso a example.com e implementarlo senza perdere le credenziali in un XSS non è banale.)

Sì, probabilmente è una cattiva forma insegnare agli utenti ad accedere su un dominio diverso. Spesso l'utilizzo di un sottodominio fornisce un buon equilibrio tra contenimento (tramite origine) e usabilità. Vedi, ad esempio, accounts.google.com per una pagina di accesso su un'origine diversa, ma dominio riconoscibile.

    
risposta data 02.07.2014 - 02:25
fonte

Leggi altre domande sui tag