web-dev-qa-db-ja.com

そっくりのログインページに対する自動化されたブラウザレベルの対策

たとえば、疑いを持たない訪問者がリンクを取得したとします security.stackexchange.com /... 。次に、ログインページを再度開きます。再度ログインする必要がある理由についての説明がある場合とない場合があります。 (これは、セキュリティ愛好家のコミュニティよりも、料理や音楽のような場所で問題になる可能性が高いです)

少なくともStackExchangeには、もう1回クリックするという点でセキュリティの追加レイヤーがあります Googleログインにアクセスするため

しかし、他のサービスにはそれがありません。これらのサンプルページは、ログイン情報をサードパーティに送信するように作成されている可能性があります。次に、 Googleでよく知られているエラーページの1つ を表示し、サービスが一時的に利用できないことを言い換えてください 数分後にもう一度やり直してください

技術者以外のユーザーがハッキングされるようになりました。これらの攻撃について彼らに教えることは不完全になるでしょう。

しかし、このようなページを自動的に検出する方法はどうでしょうか。

スクリーンショット認識プラグインはありますか?またはリソース認識?たとえば、そのITセキュリティロゴはリソースです。すべてのリソースをチェックサムし、ドメイン名で識別できます。私はこのページに頻繁にアクセスするので、ロゴがここに属していることは明らかであり、私がアクセスする他のサイトにはありません。

これは、まだレーダーの下にあり、 まだ検出および報告されていない である、より単純に作成されたハッキン​​グのいくつかについてユーザーに警告する可能性があります。

このテーマについて知っておくべきことは何ですか?

web-browsercountermeasureautomated-testingphishing
3
Bryan Field

そのような保護はありません。ユーザーがWebサイトの外観を信頼し、URLバーにまったく別のサイトにいることが明確に示されている場合に、そのサイトが既知であると信じることを防ぐことは、技術的に不可能(または非常に難しい)です。これがフィッシングが非常に人気があり、現在のブラウザがフィッシングドメインをブラックリストに登録することでフィッシングと戦っている理由です。 Googleセーフブラウジング 。ただし、すべてのサービスがブラックリストに基づいているため、これで問題が解決するわけではありません。

「リソースチェックサム」サービスを知りません。存在するかどうかは疑わしいです。ログイン時にアドレスバーを確認する方がはるかに簡単です。Webサイトの所有者は、 EV SSL証明書 を使用して肯定的なフィードバックを強化し、エンティティ名とWebサイトのアドレスを表示することもできます。

1
Krzysztof Kotowicz

Netcraftには クールな方法 同様のページを決定する方法があります。しかし、これは本当に確実なセキュリティ対策ですか?結局のところ、そのようなチェックが失敗するようにページのコードを根本的に変更することはできますが、同じように見えます。非表示の<div>タグを導入したり、ロード後にhtmlでページを変更したりします。

おそらく、このアプローチには、フィッシングページがまったく異なって見える可能性があるという点で、より根本的な欠陥がありますが、攻撃者が ホモグラフ攻撃 を使用した場合、それらは広く成功します。本当に、ページの外観は攻撃の最も重要な部分ですか?

グーグルセーフブラウジングは素晴らしいアイデアだと思います。当面はそれが最善の解決策だと思います。

0
rook