¿Es efectivo el sello de inicio de sesión de Yahoo en la prevención del phishing? [duplicar]

4

La información sobre la eficacia del SignIn Seal de Yahoo es escasa, lo mejor que pude encontrar fue esta sección en la entrada de Wikipedia sobre Phishing, afirmando que "pocos usuarios se abstienen de ingresar su contraseña cuando las imágenes están ausentes" y "esta característica [... ] es susceptible a otros ataques "(¿cuál?). Pero incluso si los usuarios estuvieran atentos a ello, estoy teniendo problemas para entender el concepto.

¿Cómo se garantiza que el sello solo se mostrará cuando el usuario esté realmente en ese sitio en particular? Al mirar el código fuente de la página de inicio de sesión de Yahoo, veo que se están utilizando una gran cantidad de técnicas, pero me resulta difícil comprender cuáles son sus propósitos y cómo trabajan juntos para lograr su objetivo:

  • JavaScript se usa para verificar si la página está o no en iframe (no muestra la imagen si lo está, o si JavaScript está deshabilitado);
  • La imagen insertada tiene un token largo de apariencia aleatoria en su src , que supongo es mantenerlo en secreto;
  • La URL de la imagen caduca con bastante rapidez, por lo que no puede ser robada ni utilizada en ningún otro lugar.

Lo que podría inferir de lo anterior:

  1. La solicitud de la página de inicio de sesión debe se inició desde el navegador del usuario, de lo contrario, no se enviaría la cookie que contiene el sello;
    • Si el atacante coloca la página en un iframe , no puede acceder a su contenido debido a la política del mismo origen.
    • Del mismo modo, el atacante no puede solicitarlo a través de Ajax, por el mismo motivo.
  2. A petición de la página de inicio de sesión, el servidor prepara una URL única para servir esa imagen (utilizando el contenido de la cookie, la imagen no se almacena permanentemente en el servidor), con un token no presumible al que el atacante no podría tener acceso ;
  3. La imagen solo se mostrará si la página determina correctamente que no está en un iframe ; por lo tanto, si el usuario ve la imagen, puede estar seguro de que el sitio es legítimo.

¿Mi razonamiento es correcto? ¿Hay algún ataque conocido a este esquema? (tal vez algo relacionado con MitM, etc.)

    
pregunta mgibsonbr 16.01.2013 - 01:58
fuente

2 respuestas

2

Hay una respuesta en alguna parte de este sitio que pregunta algo similar. En resumen: aunque los usuarios finales exigen esta función, realmente no lo protege en absoluto.

Una forma inteligente de engañar a un usuario en este escenario es usar SSLStrip y reemplazar la imagen de desafío con "server down for maintenance".jpg y la mayoría de los usuarios verán esto y aceptarán esto como un reemplazo del ícono real que seleccionaron.

Si puedo encontrar esa otra respuesta, publicaré un enlace.

Actualizar: esta característica se llama SiteKey. Aquí hay una excelente descripción de la solución y sus vulnerabilidades por @ D.W.

    
respondido por el random65537 16.01.2013 - 03:33
fuente
2

Me parece que el ataque "correcto" sería emular el comportamiento que se ve cuando intentas iniciar sesión en un navegador sin ninguna cookie ya presente. Esto desactiva efectivamente el "sello de inicio de sesión" por completo, volviendo al comportamiento predeterminado.

Esta es la experiencia que los usuarios ven cada vez que el usuario inicia un navegador diferente o una computadora diferente o borra sus cookies (ya sea manualmente o debido a la intervención de alguna herramienta "anti-tracking" celosa), por lo que el usuario seguramente será familiarizado con él.

Claro, es ligeramente diferente de lo que normalmente ves, pero lo has visto con la frecuencia suficiente para reconocerlo como "real", y no hay otra forma de avanzar que poner tus credenciales de todos modos. Después de todo, eso es lo que has hecho cada vez que has visto esta pantalla y ha sido el comportamiento correcto cada dos veces.

Entonces, no es infalible, pero diría que esta tecnología es al menos un paso en la dirección correcta. No es perfecto, pero se podría argumentar que es mejor que nada (también se podría argumentar que 'no lo es, pero ahí está]. Al menos lo están pensando; eso es mucho más avanzado que hace varios años.

    
respondido por el tylerl 16.01.2013 - 02:25
fuente

Lea otras preguntas en las etiquetas