Mensaje de protección SSL personalizado para usuarios en aplicaciones web

Question

Mensaje de protección SSL personalizado para usuarios en aplicaciones web

#1 de Steffen Ullrich (5 votos)

2

En algunos sitios web, especialmente en su sección de pago, veo un texto parecido a: Estás en una página segura. Sus datos personales están cifrados y protegidos con tecnología SSL. Sin embargo, parece un mensaje personalizado. Por lo tanto, cuando me atacan de alguna manera (por MITM o con el sitio web de copia falsa), aunque mi navegador me alerta de un "sitio web no seguro", es posible que aún vea el texto del sitio web que me indica que no debo preocuparme.

Me gustaría preguntarle cuál es la mejor práctica. ¿Debo implementar un mecanismo que verifique si mi front-end está realmente en protección SSL antes de imprimir este texto? ¿O es mejor no escribir algo así y dejar el mensaje de protección solo en el navegador?

Gracias de antemano.

web-application tls payment

pregunta Pilfility 09.11.2018 - 09:03

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application tls payment

¿Puedo ver la dirección MAC de un enrutador en una red Wi-Fi cifrada? ¿Por qué mi Chrome todavía confía en el certificado Thawte?

score 5 · Accepted Answer

Este es un teatro de seguridad que solo se utiliza para invocar una sensación de seguridad cálida y difusa en el usuario final. Se dio cuenta correctamente de que un sitio falso también podría crear ese mensaje. Personalmente me disgustan estos mensajes personalizados fácilmente falsificables tanto como no me gustan las renuncias similares (y también mal utilizadas) de productos antivirus en los correos.

En mi opinión, estos mensajes desvían al usuario de mirar los indicadores reales de seguridad. Es mejor no capacitar a los usuarios para que busquen y confíen en tales "indicadores" fáciles de imitar y, en su lugar, enseñarles a los usuarios cómo se ven los indicadores realmente confiables de la seguridad. Solo, algunos usuarios ya esperan tales indicadores falsos y brillantes y uno podría perder visitantes si uno no está jugando en el mismo teatro de seguridad que los demás :( Otros usuarios podrían simplemente no entender cómo buscar los indicadores reales.

Si necesita jugar en este teatro también depende de su caso de uso específico y del conocimiento y las expectativas de sus usuarios. Si lo necesita, quizás aproveche la oportunidad para explicar también a los usuarios cómo son los indicadores reales.