In che modo l'impossibilità di modificare il titolo della funzione javascript alert () aiuta nell'anti-phishing

1

Stavo usando javascript in una delle mie app Web e volevo visualizzare un avviso sullo schermo utilizzando la funzione alert("some message") con un titolo personalizzato.

Esempio:

ma come suggerito da molti siti Web, non è possibile poiché è una funzionalità di sicurezza / anti-phishing di js.

Qualcuno può spiegare, come la funzione sopra menzionata contribuisce alla sicurezza (anti-phishing) nell'app Web?

    
posta A. Sinha 25.09.2016 - 16:21
fonte

1 risposta

1

tl; dr: It (principalmente) no.

Il vero motivo per cui non è possibile modificare il titolo è che non esiste alcun titolo nel spec . Un avviso è pensato per visualizzare un messaggio semplice, non per creare una nuova finestra complessa.

Se ci fosse un parametro title, non avrebbe alcun impatto sulla sicurezza se tu fossi in grado di cambiarlo. Un avviso è un elemento molto debole per gli attacchi di phishing, in quanto può visualizzare solo un semplice messaggio di testo (non puoi nemmeno inserire link cliccabili, quindi devi dire a un utente di copiare e incollare un link - tranne che la copia è disabilitata in alcuni browser). A parte essere molto limitati, non c'è motivo di credere che un utente avrebbe più fiducia in una casella di avviso rispetto a un sito Web per quanto riguarda gli attacchi di phishing.

L'impressione che ciò possa avere un impatto sulla sicurezza può derivare dal fatto che i browser decidono di includere il sito Web di origine nel titolo. Quindi un utente malintenzionato potrebbe ad esempio ospitare JavaScript sul proprio server che visualizza un avviso con il titolo "google.com dice: [...]". Ma non vedo un vero pericolo qui. Non è possibile inserire dati in un avviso. E anche se ci fosse, un utente che si fida della segnalazione probabilmente si fiderebbe di un semplice sito di phishing senza un avviso.

Poiché un avviso fa parte del browser ui, non del sito Web ui, la personalizzazione dell'aspetto e della visualizzazione di un avviso può rappresentare un pericolo di spionaggio del browser, non di un'altra pagina web. Pertanto, un utente malintenzionato può impostare il titolo su "Avviso di sicurezza importante" e il messaggio su una descrizione per copiare e incollare un determinato URL per installare una "patch di sicurezza". Poiché l'avviso sembra provenire dal browser stesso, un utente può seguirlo. Ma anche questo mi sembra piuttosto inverosimile (ed essere in grado di modificare il titolo di un messaggio sembra un punto marginale qui: un utente del genere potrebbe essere ingannato facilmente da un messaggio visualizzato all'interno di un sito web stesso, che ha molto di più possibilità di stilare un messaggio e ricevere dati inseriti da un utente).

    
risposta data 25.09.2016 - 17:02
fonte

Leggi altre domande sui tag