Что лучшие пути состоят в том, чтобы препятствовать тому, чтобы Ваш веб-сайт был Phished?
Что лучшие пути состоят в том, чтобы препятствовать тому, чтобы Ваш веб-сайт был Phished? Процитируйте некоторые технические предложения и ссылки, если это возможно.
Спасибо!
6 ответов
Веб-сайты не подвергаются фишингу - это делают пользователи. Самое большее, что вы можете сделать, это получить SSL-сертификат и на экране входа в систему делать огромные заявления о золотых замках, доменных именах (спасибо codeka) и т.п.
На сайте BOFA есть кое-что интересное, что мне очень нравится, и я верю, что это помогает. Они заставляют вас выбирать значок изображения из набора, когда вы регистрируете свою учетную запись, и каждый раз, когда вы входите в систему, он отображает это изображение ... если изображение не то же самое или не представляет собой знак для пользователя, что они ... ..
Не уверен, что вы имеете в виду, но иногда веб-сайты могут быть «взломаны» с помощью атак CSRF или XSS .
XSS может особенно возникнуть, когда вы разрешаете пользователям вводить произвольный текст и не гарантируете, что они не вводят произвольный HTML-код.
CSRF может произойти, если вы не гарантируете, что ссылка, по которой кто-то нажимает в своем браузере, исходит с вашего веб-сайта (они могут пройти аутентификацию на вашем сайте, получить cookie, указывающий, что они аутентифицированы, открыть новую вкладку и быть обманутыми, нажав ссылка на другой веб-сайт на другой вкладке, которая указывает на ваш веб-сайт и вызывает на нем какие-то действия).
По этим ссылкам обсуждаются стратегии смягчения последствий.
Мне не нравится ценник, и я не совсем уверен в его полезности, но EV SSL рекламируется как профилактическая мера.
Кроме того, как указывает m0s, отображение выбранной пользователем информации, например изображений, в какой-то момент во время или после процесса аутентификации является шагом, предпринимаемым некоторыми сайтами, например банками.
У Рабочей группы по борьбе с фишингом есть список решений , предназначенных для веб-разработчиков.
Ни один из этих способов не является верным решением, поскольку реальный ключ - это обучение пользователей и осторожность, но они, безусловно, не могут повредить.
Поговорите об использовании безопасных браузеров (не IE) и о проблемах проверки сайта, связанных с простой проверкой (зеленый «сертификат» доменного имени рядом с URI в Firefox, зеленый указывает на проверенный сайт). Изменить: этот конкретный метод, следовательно, побеждает поддельные сайты, которые используют символы схожей печати (кириллица и т. Д.)
Я думаю, что фишинг может сильно различаться в зависимости от веб-сайта и пользователя. Я могу создать новый сайт gmail с другим доменным именем, например gmai1.com (цифра 1, а не l), и отправить его всем, чтобы войти в мою почту. Как вы можете предотвратить это? Обычно пользователи должны быть осторожны. Здесь очень трудно найти "серебряную пулю"