"Il verde è buono" e consigli di sicurezza correlati

Naviga le tue risposte
1

Dalla pagina di accesso della banca dei cittadini:

Should my browser address bar have a "green" indicator when I use Online Banking?

Yes. As an added measure, Online Banking gives you the capability to easily verify that you are on the authentic Citizens Bank website and not on a fake site created by fraudsters. Just look for the green bar (or some variation of it) in your browser address. The green bar should remind you that "green is good" and that our website has passed a sophisticated authentication process, letting you know you are good to go.

Questo mi sembra molto sopravvalutato. Non è banale ottenere un certificato HTTPS? Se è così, è solo un consiglio terribile, o mi sto perdendo qualcosa e questo è di fatto un buon consiglio?

(Tutti i browser mostrano il nome dell'entità a cui è rilasciato il certificato? In caso affermativo, il consiglio potrebbe essere modificato per dire "cercare il nome Citizen's Bank" nella sezione verde della barra degli indirizzi "?)

    
posta user135523 06.01.2017 - 22:32
fonte

3 risposte

2

Isn't it trivial to get an HTTPS certificate?

Si

If so, is this just terrible advice, or am I missing something and is this in fact good advice?

La maggior parte delle pagine di phishing (ospitate in siti compromessi) sono pubblicate sotto http, quindi chiedi all'utente di verificare che la pagina sia in qualche modo utile per evitare il phishing.

Inoltre, quella che chiamano la "barra verde" è probabilmente l'indicatore di un certificato di convalida estesa, offerto da alcune CA, che sono più difficili da ottenere (sia in denaro che in requisiti). In tal caso i browser mostreranno (in qualche formato) il nome dell'entità a cui è stato rilasciato.

È discutibile quanto il trucco di cercare https: sarebbe d'aiuto, dato che quelli sono spesso url che non passerebbero nemmeno il controllo più elementare, ad es. link

Secondo me, la banca sta cercando di semplificare al massimo le sue raccomandazioni, sperando che anche i loro clienti più stupidi possano ricordare che l'idea del "verde è buono".

Il problema principale per loro è che i loro clienti in realtà non hanno bisogno di ricordare che "è bello che sia mostrato in verde" ma che "non è bene che la barra verde non venga mostrata" e reagire gli indicatori mancanti è molto più difficile.

È comunque un consiglio terribile, poiché il fatto che una pagina sia https (lettere mostrate in verde sotto Chrome, btw) significa solo che la comunicazione con l'altro lato è sicura. Non che l'altro lato non faccia cattivo uso di questo.

    
risposta data 06.01.2017 - 22:59
fonte
0

La barra verde indica che ha un certificato di convalida esteso che comporta un onere di verifica molto più elevato (e costi più elevati).

Questo significa che è molto meno probabile che venga usato in modo fraudolento, anche se ovviamente non impossibile.

link

    
risposta data 06.01.2017 - 22:43
fonte
0

Isn't it trivial to get an HTTPS certificate?

Si

If so, is this just terrible advice, or am I missing something and is this in fact good advice?

Questo non è un buon consiglio. Browser diversi hanno diversi modi di visualizzare un indicatore verde e questi modi cambiano nel tempo. Quindi quello che dovresti cercare cambierebbe nel tempo.

Non abbiamo prove evidenti di quanti siti di phishing sono o non sono SSL.

Quello che ti consiglio è che usi un segnalibro ogni volta che vuoi visitare la tua banca. (Idealmente, è un segnalibro in un browser diverso, ma molte persone trovano difficile dare consigli.)

If so, could the advice be amended to say "look for the name Citizen's Bank" in the green section of the adress bar"?)

Sì, potrebbe essere migliore in qualche modo, ma ancora una volta, è un bersaglio mobile. Il consiglio giusto, penso, è di avere un segnalibro e incoraggiare le persone a usarlo. È facile da seguire, sviluppa un'abitudine e è sotto il tuo controllo.

    
risposta data 06.01.2017 - 23:48
fonte

Leggi altre domande sui tag

certificati SSL per una combinazione di sottodomini e domini di primo livello [chiuso] Quali sono le differenze tecniche di implementazione tra la scansione basata sulle firme e la scansione euristica?