Se si utilizzano siti protetti con certificati di convalida estesa Quanto si deve ancora preoccupare dei siti di phishing che li stanno impersonando?

Question

Se si utilizzano siti protetti con certificati di convalida estesa Quanto si deve ancora preoccupare dei siti di phishing che li stanno impersonando?

#1 da (2 voti)

1

Stavo rimuginando sulla questione della protezione degli utenti dai siti di phishing che rubano le password quando una domanda interessante che non mi era mai venuta in mente prima mi è venuta in mente:

Diciamo che decido di prendere Chromium, Firefox o un altro browser open source e apportare una leggera modifica alle sue funzionalità: lo altero in modo che solo carichi i siti che hanno un valore < a href="https://security.stackexchange.com/questions/15865/what-are-the-advantages-of-ev-certificate"> Certificati Extended Validation , per verificare che la pagina / il sito sia realmente dall'organizzazione / entità da cui proviene. Questo browser speciale per soli siti EV sarebbe sicuramente not essere destinato all'uso per la maggior parte delle normali "normali" esplorazioni, ma solo per visitare & accedere a siti molto sensibili che si vogliono davvero proteggere dal furto di credenziali basato su phishing / furto d'identità. (Servizi bancari e altri servizi finanziari, email, ecc.)

In secondo luogo, supponiamo che io crei un criterio di utilizzo (per gli utenti di un'organizzazione per cui lavoro, o anche solo per me stesso) che dice che quei siti sensibili possono solo accedere al mio speciale Browser solo EV. Forse persino il mio browser EV-sites-only è quello predefinito che carica tutti i collegamenti che un utente potrebbe fare senza pensarci su e-mail & app di messaggistica, solo per fornire la protezione più completa contro le tattiche di phishing false-login che posso.

Quindi, da un punto di vista pratico *, un utente sarebbe effettivamente al sicuro dal phishing di rappresentazione del sito se avesse visitato solo siti sensibili nel mio browser solo per EV?

Oppure, in un altro modo, se un utente assicura che utilizza solo siti sensibili che dispongono di certificati di convalida estesa è al sicuro da attacchi di phishing che utilizzano siti di impostori per rubare le credenziali dell'utente?

* Nota il mio uso della frase "da un punto di vista pratico". Ovviamente, da un punto di vista teorico un cattivo ragazzo potrebbe essere in grado di ottenere un'autorità di certificazione per rilasciare un certificato EV a lui che potrebbe essere utilizzato per un sito di impostore. Ma è qualcosa che attualmente si verifica in natura?

passwords certificates phishing credentials

posta mostlyinformed 23.10.2015 - 10:08

fonte

1 risposta

Leggi altre domande sui tag passwords certificates phishing credentials

Utilizzare i tasti HSPD-12 (PIV) per SSH Spoofing TCP / IP stack SO Attacchi fingerprinting in OSX

score 2 · Answer 1

let's say that I then create a usage policy (for users in an organization I work for, or even just for myself) that says that those sensitive sites can only be accessed in my special EV-only browser.

Non penso che valga la pena.

La manutenzione di un browser è molto difficile.

Inoltre: penso che insegnare agli utenti a "usare quel browser per quel sito!" potrebbe essere difficile come insegnare loro: "cerca la serratura verde!" - Anche se questo potrebbe essere risolto se si collocano solo segnalibri sui loro desktop che aprono un sito con uno o l'altro browser.

Ancora: se si dispone effettivamente di un elenco di siti sensibili conosciuti, si potrebbe anche fare qualcosa come impostare Nagios per allertare le modifiche del certificato. Ciò avrebbe l'ulteriore vantaggio di avvisare gli amministratori che sanno come gestire un tale cambiamento.

Bad Guy might be able to get a cert authority to issue an EV certificate to him

La promessa EV vale solo se ti fidi del donatore di promesse. Se il promettente è improvvisamente inaffidabile (per qualsiasi ragione, hacking, corruzione, errore), allora anche la promessa non vale più la pena.

Dopo che tutta la parte EV di un certificato sta semplicemente aggiungendo un altro flag al certificato. E la CA può farlo a volontà. Se la loro responsabilità interna fallisce, se va bene, aggiungiamo questo flag se e solo se abbiamo effettivamente fatto il problema della verifica dell'identità corretta , questo di solito non sarà ovvio per nessun estraneo.

Questo è il punto in cui Trasparenza certificato può essere d'aiuto. Ciò renderebbe almeno (errata) l'emissione pubblica rilevabile.