Комментарии 25
Любой LastPass защитит от фишинга — если домен неправильный, то поля просто не заполнятся.
А если DNS подменён? Например в общественном месте или уязвимый роутер.
Это я к тому, что просто «домен неправильный» вовсе не достаточно.
Это я к тому, что просто «домен неправильный» вовсе не достаточно.
А от этого спасёт SSL, который используют хотя бы на странице авторизации все более-менее серьёзные сайты.
Вот только если пользователь обратит внимание, что https отсутствует, а вместо него простой http. Чего 96% простых людей не заметит.
А тут уже нужна разъяснительная работа с пользователями. К счастью, большинство браузеров наличие HTTPS стараются показать очень заметно. Соответственно, стоит на форме авторизации добавить большую картинку-скриншот и красную надпись «Проверьте, что зелёный замочек на месте прежде, чем вводить пароль». Многие пользователи не помнят адрес сайта (и каждый раз заходят, как в анекдотах, вбивая поисковый запрос в поисковик), поэтому не станут проверять правильность адреса, а вот наличие пиктограммы проверить легко. К тому же злоумышленнику будет труднее получить сертификат на домен слишком похожий на популярный сайт, так что наличие индикатора HTTPS отсеет множество атак.
Это-то что поменяет? Если условный Василий Петрович наберет в браузере www.mysecretsite.ru, а ему придет подменённый ответ от DNS-сервера, что сайт имеет ip 2.2.2.2 (вместо положенных 1.1.1.1)? Кто выполнит HSTS? Правильно, никто.
Я же специально ссылку на DNSSEC привёл. Если ему придёт подменённый ответ, то после браузер сообщит об ошибке после того, как не сможет проверить подпись.
HSTS Preload немного поможет.
certificate pinning +HSTS +HSTS preload и/или https everywhere +password manager = нужно не только подделать DNS но и сертификат, иначе менеджер паролей (напр. KeePass) не отдаст пароль.
Да, много технологий и всевозможных «но», и тем не менее я считаю этот сетап достаточно безопасным.
Да, много технологий и всевозможных «но», и тем не менее я считаю этот сетап достаточно безопасным.
В LastPass адрес сайта сохраняется вместе с http://, https://
Зачем так сложно? Расширение настолько глупое, что банального iframe достаточно: jsfiddle.
Первый блок — максимально наивный фишинг, обычное поле для ввода пароля, расширение его ловит.
Если то же самое засунуть в iframe — второй блок, то уже не ловит.
Я не предполагал, что оно настолько просто сдастся, поэтому сначала я сделал несколько iframe, которые подменяют друг друга на ходу, таким образом весь пароль на каком-то из них не вводится — третий блок, но, как оказалось, это был даже перебор.
Первый блок — максимально наивный фишинг, обычное поле для ввода пароля, расширение его ловит.
Если то же самое засунуть в iframe — второй блок, то уже не ловит.
Я не предполагал, что оно настолько просто сдастся, поэтому сначала я сделал несколько iframe, которые подменяют друг друга на ходу, таким образом весь пароль на каком-то из них не вводится — третий блок, но, как оказалось, это был даже перебор.
Не пользуюсь хромом, поэтому не знаю визуальных особенностей его работы, но, разве, если перезагружать страницу после каждого символа, то она не будет мерцать и выглядеть подозрительно?
Вот еще одна веская причина для глобального перехода на https
Ну сделать фишинговую страницу на supersecure.gymail.com не сильно сложней, чем на http.
А сертификаты нынче раздают бесплатно…
А сертификаты нынче раздают бесплатно…
certificate pinning for the win!
Фишингом занимаются не для развлечения, а ради заработка. А раз так, то вполне нормальны начальные вложения (всё равно придётся покупать домен и оплачивать хостинг). А раз так, то сертификат можно и купить — бесплатность не особо то спасёт от профессионалов. Вопрос в том, будут ли давать сертификаты на домены, похожие сайты на популярные сервисов.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Расширение от Google для Chrome, защищающее от фишинга, оказалось бесполезным