Cómo la incapacidad para modificar el título de la función de alerta () de javascript ayuda en la lucha contra el phishing

1

Estaba usando javascript en una de mis aplicaciones web y quería mostrar una alerta en la pantalla usando la función alert("some message") con un título personalizado.

ejemplo:

pero como lo sugieren muchos sitios web, no es posible ya que es una función de seguridad / antiphishing de js.

¿Alguien puede explicar cómo la característica mencionada anteriormente contribuye a la seguridad (anti-phishing) en la aplicación web?

    
pregunta A. Sinha 25.09.2016 - 16:21
fuente

1 respuesta

1

tl; dr: (en su mayoría) no.

La verdadera razón por la que no puede modificar el título es que no hay ningún título en espec. . Se pretende que una alerta muestre un mensaje simple, no que cree una nueva ventana compleja.

Si hubiera un parámetro de título, no tendría ningún impacto en la seguridad si pudiera cambiarlo. Una alerta es un elemento muy débil para los ataques de phishing, ya que solo puede mostrar un mensaje de texto simple (ni siquiera puede insertar enlaces en los que se puede hacer clic, por lo que debería decirle a un usuario que copie y pegue un enlace, excepto que la copia está deshabilitada en algunos navegadores). Además de ser muy limitado, no hay razón para creer que un usuario confíe más en un cuadro de alerta que en un sitio web con respecto a los ataques de phishing.

La impresión de que puede tener un efecto en la seguridad puede deberse al hecho de que los navegadores deciden incluir el sitio web original en el título. Por lo tanto, un atacante puede, por ejemplo, alojar JavaScript en su servidor que muestra una alerta con el título "google.com dice: [...]". Pero no veo un peligro real aquí. No hay posibilidad de ingresar datos en una alerta. E incluso si lo hubiera, un usuario que confía en la alerta probablemente también confiaría en un sitio de phishing simple sin una alerta.

Como una alerta forma parte de la interfaz de usuario del navegador, no de la interfaz de usuario del sitio web, la personalización de la apariencia de una alerta puede suponer el peligro de suplantar la identidad del navegador, no de otra página web. Por lo tanto, un atacante puede establecer el título en "Aviso de seguridad importante" y el mensaje en una descripción para copiar y pegar una URL determinada para instalar un "parche de seguridad". Como la alerta parece originarse en el navegador en sí, un usuario puede seguirla. Pero incluso eso me parece bastante inverosímil (y la posibilidad de editar el título de un mensaje parece ser un punto sin importancia aquí; tal usuario puede ser fácilmente engañado por un mensaje que se muestra dentro de un sitio web en sí mismo, lo cual tiene mucho más posibilidades de estilo de un mensaje y recibir datos ingresados por un usuario).

    
respondido por el tim 25.09.2016 - 17:02
fuente

Lea otras preguntas en las etiquetas