C'è qualche motivo per mantenere un'immagine "Verified by X" sulla pagina per una pagina protetta da SSL?

1

Quindi, l'ho visto su una pagina:

(Laparteredattadiceilnomedell'entitàchepossiedeildominio)

LapaginaharecentementericevutocertificatiSSLdaGeoTrust.L'immagineèinhttps://smarticon.geotrust.com/smarticon?ref=hostnameealclicsudiessavieneinviataahttps://smarticon.geotrust.com/smarticonprofile?Referer=hostname,chemostra:

Ma non capisco il punto di questa immagine. Per me, sta sottraendo attenzione via dalla barra degli URL verde e spostandola sull'immagine di spoofing.

C'è qualche punto nelle CA che danno ai clienti queste immagini da mettere sulla pagina?

    
posta Manishearth 24.10.2013 - 17:09
fonte

2 risposte

3

Generalmente il punto è che se fai clic sul link, eseguirà alcune ulteriori convalide del sito confermando con la CA che il certificato è quello corretto che hanno emesso, ma in realtà, non dovrebbe importare e potrebbe facilmente essere simulato andando in un sito web casuale che dice "sì, sono al sicuro".

È una di quelle cose che penso originariamente intendeva essere la risposta per i siti Web per indicare chi è il loro certificato di ritorno prima che i browser facessero un lavoro migliore per visualizzare correttamente chi è l'autorità di certificazione. Penso che stia tentando principalmente di neutralizzare gli attacchi in cui qualcuno compromette la macchina locale e inserisce un falso certificato radice che consente a un uomo nel mezzo di fingere facilmente di essere il sito, anche se a quel punto, sei fregato comunque dal momento che un keylogger potrebbe solo facilmente utilizzabile a quel punto.

Quindi no, non è più un buon punto di vista e anche quando c'era un punto, nel migliore dei casi era dubbio. ciò che è un po 'diverso è che a volte è più di una verifica dell'identità. Alcuni servizi eseguiranno scansioni di vulnerabilità e controlleranno le politiche sulla privacy e tali e controlleranno la società e solo allora permetteranno la visualizzazione di un logo, ma non è questo il punto dei loghi che hai inserito nel tuo post.

    
risposta data 24.10.2013 - 17:49
fonte
4

Personalmente sono completamente in disaccordo con qualsiasi forma di asserzione di sicurezza su una pagina web. Sto scrivendo un blog al momento proprio su questo.

Molte istituzioni finanziarie includono elementi come "Accedi in modo sicuro qui" e immagini di lucchetti sparsi ovunque. Un semplice attacco SSLstrip e l'utente sta sfogliando la pagina su http: // eppure stanno effettuando l'accesso "in sicurezza" perché, beh, la pagina lo dice e c'è un'immagine di un lucchetto in modo che sia sicura.

Sono inoltre d'accordo con il punto che toglie l'attenzione dell'utente lontano dalla barra degli indirizzi, che è il solo posto che un utente dovrebbe cercare per ottenere garanzie sulla sicurezza della loro connessione. Aspettarsi che guardino e si fidi di un jpg che dice che il sito è sicuro è una cattiva pratica. Chiunque può mettere un'icona a forma di lucchetto sul loro sito e dire che è sicuro quando non lo è.

    
risposta data 24.10.2013 - 17:28
fonte

Leggi altre domande sui tag