2010-02-12 2 views
8

Il discorso di internet town oggi è il SNAFU che ha portato a decine di utenti di Facebook guidati dalla ricerca di Google su un articolo su ReadWriteWeb sull'affare Facebook-AOL. Ciò che è seguito nello comments tread sta diventando rapidamente la leggenda di Internet.Come puoi assicurarti che un utente sappia che si trova sul tuo sito web?

Tuttavia, dietro l'ilarità è un fatto spaventoso che questo potrebbe essere il modo in cui gli utenti visitano tutti i siti, inclusi i loro servizi bancari e altri siti più importanti. Una rapida ricerca per "login al mio sito web della banca" e fare rapidamente clic sul primo risultato. Una volta lì, l'utente è disposto a inviare le proprie credenziali anche se il sito non assomiglia al sito che hanno cercato di raggiungere. (Ciò è dimostrato dal fatto che i commenti dell'utente sono collegati ai loro account Facebook tramite Facebook-connect)

Prevenire che questo scenario sia praticamente fuori dal nostro controllo e istruire i nostri utenti sulle basi della navigazione in internet potrebbe essere altrettanto impossibile . Quindi, in che modo possiamo garantire che gli utenti sappiano di trovarsi sul sito Web corretto prima di tentare di accedere? È qualcosa di simile a Bank of America's SiteKey sufficiente, o è un altro cop-out che sposta la responsabilità verso l'utente?

+0

"... o si tratta di un altro limite che sposta la responsabilità verso l'utente?" Come è una fuga? È ** la responsabilità dell'utente. Se sono disposti a digitare le proprie credenziali in qualsiasi sito casuale, tu, in quanto proprietario del sito legittimo, non puoi fermarli. – meagar

+0

meagar, non importa quanto tecnologicamente inette siano, sono ancora i tuoi clienti. Se leggi i commenti sull'articolo di ReadWriteWeb vedrai un sacco di frustrazione e rabbia che questi utenti stanno esprimendo si rivolge a Facebook che non ha avuto alcun controllo su ciò che stava accadendo! Non è colpa di Facebook, ma negli occhi dell'utente il danno è fatto. Direi che devi almeno provare ad assumerti la responsabilità di tutto ciò che può potenzialmente danneggiare la tua reputazione. –

+0

Con parole tue, Facebook non ha avuto alcun controllo sulla situazione. Questo era il mio punto. Non puoi impedire agli utenti di utilizzare in modo errato Internet quando non raggiungono nemmeno il tuo sito. – meagar

risposta

1

Quando ho impostato il mio conto bancario online, mi ha chiesto di scegliere tra una selezione di immagini. L'immagine che ho scelto ora mi viene mostrata ogni volta che accedo. Questo mi assicura che sono sul sito giusto.

EDIT: Ho appena letto il link sulla BoA SiteKey, questo è apparentemente la stessa cosa (ha suonato dal nome come un dongle challenge-response)

Suppongo che la risposta migliore sarebbe un dispositivo hardware che richiesto un codice dalla banca e dall'utente e autenticato entrambi. Ma ognuna di queste cose presuppone che le persone stiano effettivamente pensando al problema, il che ovviamente non è così. Ciò avveniva prima che l'internet banking fosse comune - avevo un amico che le aveva rubato il portafogli negli anni '90 e le aveva telefonato fingendo di essere la sua banca e l'aveva convinta a rivelare il suo PIN ...

+0

Si presume che qualcuno che accede al sito sia un utente esperto come te, non uno che farebbe clic su un collegamento da un risultato di ricerca e tenterà di accedere. Potrebbero dimenticarsi di aver impostato un'immagine e andare semplicemente con qualsiasi login gli sia stato presentato. – bdl

+0

ma lo ottieni solo dopo aver effettuato l'accesso giusto? a quel punto, il sito spoof ha già le tue credenziali (o alcune di esse) – roryf

+0

ovviamente, tutto quello che puoi fare è avvisare la banca e revocare le tue credenziali. –

1

Il sito potrebbe "Personalizza" stesso mostrando alcune informazioni personali, facilmente riconoscibili dall'utente, su ogni pagina. Ci sono molti modi per implementarlo. L'ovvio: alla prima visita, il sito richiede all'utente di caricare alcuni avatar, e aggiunge l'id dell'utente ai cookie. Dopodiché, ogni volta che l'utente visualizza il sito , viene visualizzato l'avatar.

0

Quando l'utente prime visite al sito e si connette, si possono condividere alcune informazioni personali (anche qualcosa di molto banale) che i siti impostore non poteva possibile il know - mascotte della High School, prima strada viveva, ecc

Se c'è qualche domanda sull'autenticità del sito, il sito potrebbe condividere queste informazioni all'utente.

Come nei programmi TV/film con il gemello malvagio. Il buon gemello vince sempre la fiducia condividendo un segreto che solo la persona che sta cercando di capire chi è il buon gemello lo saprebbe.

+4

Se leggete i commenti sul sito web collegato, vi renderete conto di quanto questo chiede a queste persone. Se l'immagine non fosse mostrata, non penserebbero che qualcosa non andasse - probabilmente penserebbero che la banca abbia escogitato una nuova routine per rendere le cose meno fastidiose per loro. – dagoof

+0

Sfortunatamente, questo non fornisce la sicurezza che pensi di fare.Guarda l'esempio dell'account "hacked" di Sarah Palin. – bdl

2

Internet e i browser Web avevano un paio di funzioni interessanti che potrebbero effettivamente avere qualche applicabilità lì.

Uno era qualcosa chiamato "nomi di dominio". Invece, inserendo il nome del sito web sul sito giusto della barra degli strumenti, c'era un altro campo di testo più ampio sulla sinistra dove potevi inserirlo. Piuttosto che cercare un database proprietario di Google in esecuzione su vaste fattorie di Magic 8-Balls, questo arcano campo "indirizzo" consultava un autorevole registro di "nomi di dominio" e ti portava sul sito giusto ogni volta.Purtroppo a volte ti è stato richiesto di inserire fino a 8 caratteri extra! Questo onere era troppo per la maggior parte degli utenti, e questa ingombrante funzionalità è stata abbandonata.

Un'altra cosa che si vedeva nei browser era qualcosa chiamato "segnalibro". Gli etimologi stanno ancora cercando di determinare da dove sia nato il termine "segnalibro". Sospettano che abbia qualcosa a che fare con la carta con divertenti scarabocchi. Ad ogni modo, questi segnalibri hanno permesso agli utenti di creare un pulsante che li avrebbe portati direttamente al sito web di interesse. Ovviamente, la creazione di un segnalibro era un processo noioso e intimidatorio, a volte richiedeva fino a due clic del menu — o, peggio ancora, l'uso del tasto Ctrl!

Ah, le meraviglie degli antichi.

+0

"vaste fattorie di Magic 8-Balls" che mi hanno fatto ridere. Mi fai sembrare antico con il mio uso di queste arti arcane! Poi di nuovo, so meglio e capisco come funziona la navigazione in internet. È un nuovo mondo in cui viviamo adesso, e il tipo di utente presentato qui è la stessa gente che speriamo di avere come clienti in qualsiasi attività legata a Internet. –

+0

Se "un pazzo e il suo denaro sono presto separati", allora, sì, queste persone sembrano grandi clienti. – erickson

+0

Incolpare internet explorer .. Quale altro browser malevolo digiti "facebook.com" nella barra degli indirizzi URL solo per ottenere una pagina di ricerca MSN che dice che hai cercato "facebook.com" .. No no, richiede "http : // facebook.com "per arrivare direttamente al sito che intendi .. – Earlz

0

Non è possibile impedire il phishing per-se ma è possibile eseguire diversi passaggi, ognuno dei quali fa un po 'di attenuazione del problema.

1) Se si dispone di qualcosa come la chiave del sito o un sigillo di accesso, assicurarsi che non siano ifram su un sito Web dannoso. Solo javascript framebusting potrebbe non essere sufficiente in quanto IE ha security = "restricted".

2) Essere molto coerenti sul modo in cui si richiedono le credenziali dell'utente: fornire il modulo di accesso tramite SSL (non solo post-back su SSL). Non chiedere l'accesso su diversi luoghi o siti. Incoraggia le terze parti che desiderano lavorare con i dati utente memorizzati sul tuo sito per utilizzare OAuth (invece di prendere la password dell'utente).

3) Non si dovrebbe mai chiedere informazioni via e-mail (con o senza collegamento).

4) Avere una pagina di sicurezza in cui si parla di questi problemi.

5) Inviare la notifica sulle modifiche di telefono registrato, e-mail, ecc

parte dall'alto, monitor di account utente di attività - come le modifiche alle informazioni di contatto, la sicurezza Q & A, accesso, ecc (il tempo di notare, ip, e ci sono diverse tecniche sottili).