"El verde es bueno" y consejos de seguridad relacionados

Question

"El verde es bueno" y consejos de seguridad relacionados

#1 de Ángel (2 votos)
#2 de ste-fu (0 votos)
#3 de Adam Shostack (0 votos)

1

Desde el banco del ciudadano página de inicio de sesión :

¿Debería la barra de direcciones de mi navegador tener un indicador "verde" cuando uso la Banca en Línea?

Sí. Como medida adicional, la Banca en línea le brinda la capacidad de verificar fácilmente que se encuentra en el sitio web auténtico de Citizens Bank y no en un sitio falso creado por estafadores. Solo busque la barra verde (o alguna variación de ella) en la dirección de su navegador. La barra verde debe recordarle que "verde es bueno" y que nuestro sitio web ha pasado un proceso de autenticación sofisticado, que le indica que está listo para comenzar.

Esto me parece demasiado exagerado. ¿No es trivial obtener un certificado HTTPS? Si es así, ¿es simplemente un consejo terrible o me estoy perdiendo algo? ¿Es este realmente un buen consejo?

(¿Todos los navegadores muestran el nombre de la entidad a la que se expide el certificado? Si es así, ¿se podría modificar el consejo para que diga "busque el nombre de Citizen's Bank" en la sección verde de la barra de dirección "?)

tls defense

pregunta user135523 06.01.2017 - 22:32

fuente

3 respuestas

Lea otras preguntas en las etiquetas tls defense

¿Cómo se puede seguir examinando SEC_ERROR_REVOKED_CERTIFICATE en Firefox? un mensaje enviado para un número desconocido sin que yo lo envíe

score 2 · Answer 1

¿No es trivial obtener un certificado HTTPS?

Sí

Si es así, ¿es simplemente un consejo terrible o me estoy perdiendo algo? ¿Es este un buen consejo?

La mayoría de las páginas de phishing (alojadas en sitios comprometidos) se sirven en http, por lo que pedirle al usuario que verifique que https hace ayuda un poco para evitar el phishing.

Además, lo que ellos llaman la "barra verde" es probablemente el indicador de un certificado de Validación Extendida, ofrecido por algunas AC, que son más difíciles de obtener (tanto en dinero como en requisitos). En cuyo caso, los navegadores mostrarán (en algún formato) el nombre de la entidad a la que se emitió.

Se puede argumentar cuánto ayudaría el truco de buscar https: dado que a menudo son URL que no pasan ni el control más básico, por ejemplo. enlace

En mi opinión, el banco está tratando de simplificar sus recomendaciones al máximo, con la esperanza de que incluso sus clientes más tontos puedan recordar que la idea de "verde es bueno".

El principal problema para ellos es que sus clientes en realidad no necesitan recordar que "es bueno que se muestre en verde", pero que "no es bueno que la barra verde no se muestre" y que reaccionen los indicadores faltantes son bastante más difíciles.

No obstante, es un consejo terrible, ya que el hecho de que una página sea https (las letras que se muestran en verde en Chrome, por cierto) solo significa que la comunicación con el otro lado es segura. No es que el otro lado no haga un mal uso de eso.

score 0 · Answer 2

0

La barra verde significa que tiene un certificado de validación extendido que conlleva una carga de verificación mucho mayor (y un costo más alto).

Esto significa que es mucho menos probable que se use de forma fraudulenta, aunque obviamente no es imposible.

enlace

respondido por el ste-fu 06.01.2017 - 22:43

fuente

score 0 · Answer 3

¿No es trivial obtener un certificado HTTPS?

Sí

Si es así, ¿es simplemente un consejo terrible o me estoy perdiendo algo? ¿Es este un buen consejo?

Este no es un buen consejo. Los diferentes navegadores tienen diferentes formas de mostrar un indicador verde, y esas formas cambian con el tiempo. Entonces, lo que deberías buscar cambiaría con el tiempo.

No tenemos una gran evidencia de cuántos sitios de phishing son o no son SSL.

Lo que recomiendo es que use un marcador cada vez que quiera visitar su banco. (Idealmente, es un marcador en un navegador diferente, pero a muchas personas les resulta difícil actuar en ese consejo).

Si es así, ¿podría modificarse el consejo para que diga "busque el nombre de Citizen's Bank" en la sección verde de la barra de dirección "?

Sí, eso podría ser mejor en algunos aspectos, pero nuevamente, es un objetivo en movimiento. El consejo correcto, creo, es tener un marcador y alentar a las personas a usarlo. Es fácil de seguir, desarrolla un hábito y está bajo tu control.