针对网站UI欺骗威胁的建议解决方案是什么?你如何对抗网站欺骗/网络钓鱼?
回答
此问题的关键在于确定对真实网站的请求和对欺骗网站的请求之间的一些区别。
最简单的区别是某些基于Cookie的UI偏好。在您的(真实)网站上设置的cookie只会被返回到您的网站,并且永远不会被发送到欺骗网站。
现在有很多理由认为有效的cookie可能不会发送到您的网站,用户可能使用的是不同的计算机或者他们可能过期/删除了cookie,但至少可以保证它不会被发送到欺骗站点。
一个解决方案是为每个用户定制网站。欺骗只适用于用户对网站基本相同的观点(一个欺骗 - 许多受害者)。因此,例如,如果eBay允许您配置自定义背景颜色,则应该能够注意到您正在查看的页面有些恶搞(不知道您选择的颜色)。一个真正的解决方案有点复杂(比如在浏览器中配置一个秘密关键字,只有浏览器可以在密码控件或url栏中显示等等),但这个想法是一样的。
自定义每个用户的UI所以欺骗(这依赖于大多数用户期望看到基本相同的用户界面)停止工作。它可以是基于浏览器的解决方案,也可以是网站提供给用户的东西(有些已经这样做)。
您可以在用户登录时提出问题(用户使用答案编写的问题)。
如果用户没有看到他的图片(只有他可以看到的私人图片),那么您可以在用户上传的图片之后显示图片,而不是真实的网站。
这些解决方案仍然依靠你进入你的凭证,然后再确认您是否在正确的网站上。 – Gareth 2008-12-05 18:29:29
确定它写在需要之前的问题中吗? – 2008-12-05 18:36:29
根据定义依赖显示您的个性化信息一旦你已经记录了该网站上的任何解决方案是针对钓鱼者无效。如果您尝试登录,他们已经成功!
FWIW,我还不知道真正的答案,也许这个问题会抛出一些好主意。然而,我专业地参与了网络钓鱼,域名注册等方面的研究。
我不相信网站开发人员可以实施任何重要的技术解决方案。再次,根据定义,如果您的用户到达钓鱼网站,您将无法控制。
这就是为什么所有当前的反钓鱼技术都驻留在浏览器中,而不是在钓鱼网站中。
我认为这里唯一的答案是编程更好的人。
像定制外观或上传图片这样的事情,只有当问题中的用户能够真正识别出这些事情是错误的时候才会有效。我认为除了他们访问的网站之外,大多数用户永远不会意识到这些事情。即使他们这样做,他们可能会将其归因于网站设计的变化,而不是网络钓鱼。
- 1. 欺骗电子钓鱼
- 2. Facebook网络钓鱼检测
- 3. 钓鱼攻击Azure网站
- 4. 网络钓鱼和CSS位置:绝对
- 5. 如何欺骗网站引用者?
- 6. 谷歌浏览器认为我的网站是网络钓鱼
- 7. 网络钓鱼扫描程序帮助
- 8. safari中的openURL。网络钓鱼警告
- 9. openssl网络钓鱼:V声称是A
- 10. 如何防止我的网站代理网站作为钓鱼网站报告
- 11. 你如何欺骗HTTP_REFERER?
- 12. 这个googledrive.com网络钓鱼可能如何?
- 13. wifi密码如何抵御网络钓鱼攻击?
- 14. 404页面显示网络钓鱼。如何解决它?
- 15. 检查恶意软件或网络钓鱼URL的服务?
- 16. cname重定向在heroku中导致网络钓鱼警告
- 17. 这个可疑的网络钓鱼代码是做什么的?
- 18. 覆盖是否更容易受到网络钓鱼的影响?
- 19. 检测到网络钓鱼!在Chrome中发出警告
- 20. OAuth2没有客户端密钥 - 可能的网络钓鱼?
- 21. 电子邮件标识为网络钓鱼
- 22. 通过网络欺骗字节的UDP校验和
- 23. 请求网页欺骗主机
- 24. Azure的物联网中心反欺骗
- 25. 短信网关(合法)欺骗短信
- 26. Google将邮件以MailApp.sendEmail发送的电子邮件标记为网络钓鱼骗局
- 27. 黑名单由Google提供 - 前方欺骗性网站
- 28. 欺骗IIS 6.0 html网站,认为它在根
- 29. 是否有可能为网站欺骗参照标头
- 30. 如何防止钓鱼网站上传到共享服务器上?
个人定制不好 - 一个真正的网站在你登录之前不知道你是谁,所以假装成他们的网络钓鱼者已经拥有你的凭据。 – Alnitak 2008-12-05 18:24:09