¿Hay algún punto para mantener una imagen de "Verificado por X" en la página de una página protegida por SSL?

Navega tus respuestas
1

Entonces, vi esto en una página:

(Laparteredactadadiceelnombredelaentidadpropietariadeldominio)

LapáginarecientementeobtuvocertificadosSSLverificadosporGeoTrust.Laimagenestáenhttps://smarticon.geotrust.com/smarticon?ref=hostnameyalhacerclicenella,nosenvíanahttps://smarticon.geotrust.com/smarticonprofile?Referer=hostname,quemuestra:

Pero no entiendo el punto de esta imagen. Para mí, está desvirtuando la atención lejos de la barra verde de la URL y cambiándola a la imagen falsa.

¿Hay algún punto en las CAs que ofrezca a los clientes estas imágenes para que las coloquen en la página?

    
pregunta Manishearth 24.10.2013 - 17:09
fuente

2 respuestas

3

En general, el punto es que si hace clic en el enlace, realizará una validación adicional del sitio al confirmar con la CA que el certificado es el correcto que emitieron, pero realmente, no debería importar y podría fácilmente fingir yendo a un sitio web aleatorio que dice "sí, son seguros".

Es una de esas cosas que creo que originalmente pretendía ser la respuesta de los sitios web para señalar quién es su certificado de antes de que los navegadores hicieran un mejor trabajo para mostrar correctamente quién es la autoridad certificadora. Creo que fue principalmente tratar de contrarrestar los ataques donde alguien compromete la máquina local y coloca un certificado raíz falso que permite a un hombre en el medio pretender fácilmente que es el sitio, aunque en ese punto, estás jodido de todos modos ya que un keylogger podría simplemente tan fácil de usar en ese punto.

Así que no, ya no es un buen punto, e incluso cuando hubo un punto, en el mejor de los casos era dudoso. lo que es un poco diferente es que a veces es más que una verificación de identidad. Algunos de los servicios realizarán exploraciones de vulnerabilidades y comprobarán las políticas de privacidad y, por lo tanto, auditarán a la empresa y solo así permitirán que se muestre un logotipo, pero ese no es el punto de los logotipos que usted pone en su publicación.

    
respondido por el AJ Henderson 24.10.2013 - 17:49
fuente
4

Personalmente estoy en desacuerdo con cualquier forma de aserción de seguridad en una página web. Estoy escribiendo un blog en este momento sobre exactamente esto.

Muchas instituciones financieras presentan elementos como los enlaces "Iniciar sesión de forma segura aquí" y las imágenes de los candados repartidos por todo el lugar. Se trata de un simple ataque SSL y el usuario está navegando por la página a través de http: // sin embargo, están iniciando sesión "de forma segura" porque, bueno, la página lo dice y hay una imagen de un candado por lo que debe ser seguro.

También estoy de acuerdo con su punto de que desvía la atención del usuario de la barra de direcciones, que es el único lugar donde un usuario debe buscar garantías sobre la seguridad de su conexión. Esperar que busquen y confíen en un jpg que diga que el sitio es seguro es una mala práctica. Cualquiera puede poner un ícono de candado en su sitio y decir que es seguro cuando no lo está.

    
respondido por el Scott Helme 24.10.2013 - 17:28
fuente

Lea otras preguntas en las etiquetas

¿Cuándo y por qué una prueba de penetración requiere no solo el acceso, sino la descarga de un archivo desde la red de un cliente? Varias preguntas sobre la compresión y el cifrado de archivos con respecto a la piratería (zip, rar, 7z) [cerrado]