Vlákno názorů k článku Phishingových webů s HTTPS přibývá, reagují na vývoj prohlížečů od Jan - Dnes už hlavně neplatí že to co je...
-
Dnes už hlavně neplatí že to co je v URL tak tam se posílají data a teď mám na mysli i přihlašovací údaje. Viz např. nákup na Ebay - embedovaný widget s Paypal modálem. V url je ebay.com, ale jak mám věřit tomu, že data putují přímo na paypal.com. Přitom je Paypal založen právě na tom, že ostatní prodejci nemají mít přímý přístup k jeho účtu, ale jak tomu věřit, když se zdá dle URL že data putují k prodejci.
Já technicky zdatný si ještě poradím, ale co poradit obyčejnému uživateli. Aby se učil javascript a sledoval síťovou komunikaci po něm nemůžu chtít.
Navíc mám pocit, že tohle je v souladu s OAuth2, nějakou takovou kapitolu o embedování cizýho javascriptu jsem tam viděl. Hlava mi to nebere. -
> Dnes už hlavně neplatí že to co je v URL tak tam se posílají data a teď mám na mysli i přihlašovací údaje.
To neplatilo nutně nikdy. Mělo by ale platit, že obsah stránky ovlivňuje výhradně ten, kdo je uveden v adrese, popřípadě ten, na koho to deleguje. (Za předpokladu důvěryhodnosti spojení.)
Co se týče stránek, které po vás chtějí heslo na jinou stránku (je jedno, jestli je to iframe, form s action atd. – nejenže to běžný uživatel nepozná, ale ani pro pokročilého to není sranda dobře zkontrolovat), souhlasím, že je na místě obezřetnost a ideální je se tomu vyhnout.
Konkrétně eBay po mě nikdy takto heslo na PayPal nechtěl, teda ne na desktopu. V mobilní aplikaci ano, tam ale nenakupuju, pohodlnější je to nakoupit z webového prohlížeče, zvlášť když neznám to heslo zpaměti.
A PayPal je případ sám pro sebe – stačí se podívat, kolik mají phishing-like domén a jak na ně odesílají odkazy v e-mailech.
