Комментарии 25
Любой LastPass защитит от фишинга — если домен неправильный, то поля просто не заполнятся.
+5
А если DNS подменён? Например в общественном месте или уязвимый роутер.
Это я к тому, что просто «домен неправильный» вовсе не достаточно.
Это я к тому, что просто «домен неправильный» вовсе не достаточно.
+4
А от этого спасёт SSL, который используют хотя бы на странице авторизации все более-менее серьёзные сайты.
+1
Вот только если пользователь обратит внимание, что https отсутствует, а вместо него простой http. Чего 96% простых людей не заметит.
0
А тут уже нужна разъяснительная работа с пользователями. К счастью, большинство браузеров наличие HTTPS стараются показать очень заметно. Соответственно, стоит на форме авторизации добавить большую картинку-скриншот и красную надпись «Проверьте, что зелёный замочек на месте прежде, чем вводить пароль». Многие пользователи не помнят адрес сайта (и каждый раз заходят, как в анекдотах, вбивая поисковый запрос в поисковик), поэтому не станут проверять правильность адреса, а вот наличие пиктограммы проверить легко. К тому же злоумышленнику будет труднее получить сертификат на домен слишком похожий на популярный сайт, так что наличие индикатора HTTPS отсеет множество атак.
0
Это-то что поменяет? Если условный Василий Петрович наберет в браузере www.mysecretsite.ru, а ему придет подменённый ответ от DNS-сервера, что сайт имеет ip 2.2.2.2 (вместо положенных 1.1.1.1)? Кто выполнит HSTS? Правильно, никто.
0
Я же специально ссылку на DNSSEC привёл. Если ему придёт подменённый ответ, то после браузер сообщит об ошибке после того, как не сможет проверить подпись.
0
HSTS Preload немного поможет.
0
certificate pinning +HSTS +HSTS preload и/или https everywhere +password manager = нужно не только подделать DNS но и сертификат, иначе менеджер паролей (напр. KeePass) не отдаст пароль.
Да, много технологий и всевозможных «но», и тем не менее я считаю этот сетап достаточно безопасным.
Да, много технологий и всевозможных «но», и тем не менее я считаю этот сетап достаточно безопасным.
0
В LastPass адрес сайта сохраняется вместе с http://, https://
0
Зачем так сложно? Расширение настолько глупое, что банального iframe достаточно: jsfiddle.
Первый блок — максимально наивный фишинг, обычное поле для ввода пароля, расширение его ловит.
Если то же самое засунуть в iframe — второй блок, то уже не ловит.
Я не предполагал, что оно настолько просто сдастся, поэтому сначала я сделал несколько iframe, которые подменяют друг друга на ходу, таким образом весь пароль на каком-то из них не вводится — третий блок, но, как оказалось, это был даже перебор.
Первый блок — максимально наивный фишинг, обычное поле для ввода пароля, расширение его ловит.
Если то же самое засунуть в iframe — второй блок, то уже не ловит.
Я не предполагал, что оно настолько просто сдастся, поэтому сначала я сделал несколько iframe, которые подменяют друг друга на ходу, таким образом весь пароль на каком-то из них не вводится — третий блок, но, как оказалось, это был даже перебор.
+3
Не пользуюсь хромом, поэтому не знаю визуальных особенностей его работы, но, разве, если перезагружать страницу после каждого символа, то она не будет мерцать и выглядеть подозрительно?
0
Вот еще одна веская причина для глобального перехода на https
0
Ну сделать фишинговую страницу на supersecure.gymail.com не сильно сложней, чем на http.
А сертификаты нынче раздают бесплатно…
А сертификаты нынче раздают бесплатно…
0
certificate pinning for the win!
0
Pinning спасёт, если подменить accounts.google.com. Более того, поддельный сертификат просто не дадут, потому что злоумышленник не сможет подтвердить владение доменом. Но ведь можно создать accounts.google123.com (или какой домен будет свободен) — невнимательный пользователь не заметит разницы.
0
Фишингом занимаются не для развлечения, а ради заработка. А раз так, то вполне нормальны начальные вложения (всё равно придётся покупать домен и оплачивать хостинг). А раз так, то сертификат можно и купить — бесплатность не особо то спасёт от профессионалов. Вопрос в том, будут ли давать сертификаты на домены, похожие сайты на популярные сервисов.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Расширение от Google для Chrome, защищающее от фишинга, оказалось бесполезным