Si un sitio web tiene un retraso de 5 segundos antes de mostrar el formulario de inicio de sesión, ¿es probable que sea una medida de seguridad?

20

La página de inicio de JP Morgan Chase tiene un retraso de 5 segundos antes de que aparezca el formulario de inicio de sesión. Si actualizas el retraso siempre está ahí. Si no ingresa una contraseña adecuada, la página de inicio de sesión fallida no tiene ese retraso cuando se carga la página, independientemente de la cantidad de solicitudes de actualización.

¿La página de inicio está implementando algún tipo de medida de seguridad?

    
pregunta Info5ek 25.09.2016 - 07:33
fuente

3 respuestas

43
  

¿La página de inicio está implementando algún tipo de medida de seguridad?

Si te refieres a enlace , entonces no, es lento cargar y hacer la transición. UX terrible tal vez, pero esto no es una característica de seguridad. Un robot de craqueo de inicio de sesión normalmente no usaría la interfaz de usuario de todos modos.

Básicamente, es un sitio web bancario, y lamentablemente la UX es la norma.

Si bien este caso en particular puede no estar relacionado con la seguridad, no es raro tener una limitación de velocidad entre las solicitudes de inicio de sesión. Esto debería implementarse en el código de fondo para que todas las solicitudes sean efectivas.

    
respondido por el Alexander O'Mara 25.09.2016 - 08:34
fuente
6

Un posible escenario en el que este retraso podría deberse a una medida de seguridad es si el sitio está usando algo como Protocolo de rompecabezas del cliente (CPP) ) . Esto no aparece en el caso con enlace , pero se pueden usar CPP para prevenir ataques de denegación de servicio contra funciones de hashing lento . Básicamente, es una implementación del sistema de prueba de trabajo . Más detalles aquí .

La idea básica es forzar al cliente a hacer una cantidad significativa de trabajo, y demostrar que lo ha hecho, antes de que acepte un par de nombre de usuario / contraseña e intente validarlo. Visión general básica del enfoque de la publicación vinculada:

  

El servidor genera un rompecabezas aleatorio, y envía el rompecabezas a la   cliente. El servidor genera el rompecabezas de una manera que puede predecir.   razonablemente bien cuánto esfuerzo se requerirá para resolver el rompecabezas   (por ejemplo, 100 ms de cálculo). El cliente resuelve el rompecabezas, y luego   envía la solución junto con el nombre de usuario y la contraseña del usuario.

     

En una configuración web, esto probablemente se implementaría con Javascript:   La página de inicio de sesión contendría el código Javascript para resolver el rompecabezas.   y la descripción del rompecabezas. Se ejecutaría un navegador web de usuario legítimo   El Javascript en la página, que resolvería el rompecabezas e incluiría   la solución en el formulario junto con el nombre de usuario y la contraseña.

Según cómo se implementa esto, un sitio podría demorar la carga de la página de inicio de sesión hasta que el cliente (su navegador) resuelva el enigma. Una vez más, un mal diseño de la interfaz de usuario: simplemente deshabilito el botón de inicio de sesión hasta que se resuelva el problema y habilito el botón para enviar el formulario de inicio de sesión una vez que el cliente tenga una solución.

    
respondido por el Rahil Arora 26.09.2016 - 09:25
fuente
1

Mirando el código fuente usando Chrome:

view-source:https://www.chase.com/

el

<form name="homeLogonForm" class="container-fluid chase-home-login" action="https://mfasa.chase.com/auth/alogin.jsp" method="post" autocomplete="off">

El elemento

está presente cuando la página se carga, por lo que definitivamente no está "oculto" de los robots simples a través de JavaScript, sino que parece ser una decisión de UX para retrasar su presencia.

Sin preguntarle a Chase Bank, solo puedo dar conjeturas de que esto se hizo por razones de usabilidad descubiertas durante su fase de prueba.

    
respondido por el MonkeyZeus 26.09.2016 - 22:57
fuente

Lea otras preguntas en las etiquetas