tsereg
22-01-2008, 20:01
I nije tako nova stvar, ali sam je tek sada otkrio: Yahooov sign-in seal, iliti "prijavni žig":
https://protect.login.yahoo.com/
Radi se naprosto o tome da korisnik uploada neku sliku ili zamisli neku frazu koja se pohrani na serveru, a identifikator tog zapisa se pohrani u cookie na lokalnom računalu. Čim korisnik otvori web-stranicu koju je tako "žigosao", pokazat će mu se i uploadana slika ili fraza. Očigledno, klikne li korisnik na link u phishing e-mailu, otići će na web-stranicu koja izgleda identično kao prava stranica, ali se na njoj neće moći prikazati žig.
Članak iz 2006:
http://www.darkreading.com/document.asp?doc_id=102105
U članku se navodi da sistem koriste i neke banke u svojim sustavima on-line bankarstva iako žig vežu uz koriničko ime . Ovo je lošija tehnika, jer se žig pokaže tek kada se korisnik identificira. A onda je već kasno, jer je uljez prikupio podatke, pa može odmah pristupiti stvarnoj stranici, pokupiti žig i prikazati ga korisniku.
Kratak opis tehnike od strane par Yahooovaca (rad iz 2007.):
http://seclab.cs.rice.edu/w2sp/2007/papers/paper-190-z_1282.pdf
Sadrži i neke važne smjernice ako netko želi implementirati istu stvar (tipa, treba što ćešće mijenjati URL žiga pohranjen u cookieju zbog zaštite od skripti koje provale korisnikovu povijest i sl.).
Ovo nije zamjena za SSL certifikate. Stvarni način da se provjeri autentičnost stranica je i dalje korištenjem certifikata. Ovo je zgodan dodatak, po mome sudu više psihološkog karketera.
https://protect.login.yahoo.com/
Radi se naprosto o tome da korisnik uploada neku sliku ili zamisli neku frazu koja se pohrani na serveru, a identifikator tog zapisa se pohrani u cookie na lokalnom računalu. Čim korisnik otvori web-stranicu koju je tako "žigosao", pokazat će mu se i uploadana slika ili fraza. Očigledno, klikne li korisnik na link u phishing e-mailu, otići će na web-stranicu koja izgleda identično kao prava stranica, ali se na njoj neće moći prikazati žig.
Članak iz 2006:
http://www.darkreading.com/document.asp?doc_id=102105
U članku se navodi da sistem koriste i neke banke u svojim sustavima on-line bankarstva iako žig vežu uz koriničko ime . Ovo je lošija tehnika, jer se žig pokaže tek kada se korisnik identificira. A onda je već kasno, jer je uljez prikupio podatke, pa može odmah pristupiti stvarnoj stranici, pokupiti žig i prikazati ga korisniku.
Kratak opis tehnike od strane par Yahooovaca (rad iz 2007.):
http://seclab.cs.rice.edu/w2sp/2007/papers/paper-190-z_1282.pdf
Sadrži i neke važne smjernice ako netko želi implementirati istu stvar (tipa, treba što ćešće mijenjati URL žiga pohranjen u cookieju zbog zaštite od skripti koje provale korisnikovu povijest i sl.).
Ovo nije zamjena za SSL certifikate. Stvarni način da se provjeri autentičnost stranica je i dalje korištenjem certifikata. Ovo je zgodan dodatak, po mome sudu više psihološkog karketera.