Questo articolo su osxdaily.com illustra un problema in Mavericks e Yosemite in cui all'utente viene richiesta la password "a caso".
Nell'articolo, è richiesto quanto segue.
[The scenario where an attacker prompts you for your password] may be very unlikely, but it’s just good practice to not trust random password prompts, regardless of where they come from.
Penso che questa affermazione abbia molto senso, anche se forse ignora i dettagli. A me sembra strano che la tempistica di un prompt dovrebbe essere importante: se stai facendo qualcosa di icloud e ti viene richiesta una password, potresti pensare che va bene, ma se ti viene richiesto in un "momento casuale" potresti diventare sospettoso. Penso che questo sia un buon modo di pensare da un punto di vista pratico, ma penso che probabilmente questo non corrisponde al modello di sicurezza che gli sviluppatori avevano in mente.
La mia ipotesi è che nessuna applicazione dovrebbe essere in grado di generare un prompt con una "icona ufficiale" nell'area in alto a sinistra, come il lucchetto, o l'icona per icloud.
Non sono troppo preoccupato di verificare l'autenticità di un prompt da un browser (che è menzionato nell'articolo), poiché sono fiducioso di riconoscere tali prompt. Qualsiasi icona può essere incorporata in un sito Web, ma è possibile scoprire che l'icona / prompt è quindi parte del sito Web. La mia preoccupazione principale è un utente malintenzionato che ha già accesso al tuo computer, ma non i privilegi di amministratore.
La mia domanda è: c'è un modo pratico per un utente di sapere che una richiesta di password è autentica? Si dovrebbe fare affidamento su queste icone?
correlati
Questo Q & su superutente richiede metodi per verificare la validità di qualsiasi finestra in modo programmatico, ma sto cercando per qualcosa di più pratico.
Richiesta password ICloud (possibile duplicato)