¿Es intrínsecamente más seguro que empujar?

Question

¿Es intrínsecamente más seguro que empujar?

#1 de Neil Smithline (1 votos)

1

Los usuarios de un servicio están esperando que algo suceda, por ejemplo, una transferencia de dinero.

Un atacante podría falsificar una notificación de correo electrónico, que ejecuta un ataque XSRF.

Alternativamente, podría dejar que el usuario lo compruebe cuando lo desee, visitando una página web. A través de https, la notificación que reciben está encriptada y firmada como auténtica.

Mis ejemplos están sesgados contra las fallas del correo electrónico. Hay muchos tipos diferentes de sistemas de mensajería push and pull.

Dicho esto, tengo curiosidad por saber si hay algo intrínsecamente más seguro en los diseños basados en pull?

phishing

pregunta user2800708 15.04.2016 - 17:36

fuente

1 respuesta

Lea otras preguntas en las etiquetas phishing

Espero que alguien pueda arrojar algo de luz sobre estos resultados de escaneo de nmap Wireshark como un escáner de red [cerrado]

score 1 · Answer 1

No creo que haya una gran diferencia entre los dos modelos. Si implementa el modelo "push", que llamaré modelo de "notificación", el usuario todavía puede iniciar sesión en el sitio antes de recibir la notificación. Si implementa el modelo "pull", que considero el modelo de "sondeo", un atacante aún puede enviar un correo electrónico al usuario con una notificación falsificada, convirtiendo efectivamente su modelo de sondeo sin notificación en un modelo de notificación (el atacante tendría que hacerlo). saber que se espera una notificación para lograr esto con eficacia). De cualquier manera, básicamente estás soportando ambos modelos.

Al final, su usuario debe ser lo suficientemente sofisticado para evitar hacer clic en los enlaces defectuosos en su correo electrónico y, en general, evitar ir a sitios web incorrectos. Si no lo están, entonces están abiertos al phishing y otros ataques. Implementa 2FA , considera algo como U2F , capacite a sus usuarios sobre los ataques de phishing y asegúrese de que su equipo de soporte sepa cómo responder a los problemas.