Desde el comentario de @ GrahamLee sobre esta pregunta , este es un muy buen punto:
¿Cómo decido si confiar en un sitio web en particular cuando la única información que tengo relevante para mi decisión de confianza es la web?
¿Confío en él debido a la historia? Siempre ha aparecido bien por lo que probablemente es ahora? ¿Cuento el número de otros sitios que confían en él? ¿La web del concepto de confianza?
o que mas?
Hubo algunas investigaciones interesantes sobre métricas de confianza: Métricas de confianza resistentes a ataques , Un modelo para el análisis de métricas de confianza , Cómo incorporar la información del estado de revocación en las métricas de confianza para la certificación de clave pública
El concepto básico es crear un conjunto de enlaces desde usted a su objetivo. Lamentablemente los sitios web no encarnan la confianza. Las personas son los originadores de confianza apropiados. Este es un concepto que se pierde fácilmente en la era moderna, donde la tecnología se presenta como estéril y desconectada de sus creadores y fabricantes.
Sin embargo, todos los sitios web están hechos por personas, al menos por lo que yo sé. El problema en algunos sitios es que el creador de contenido no siempre es reconocido. Los enlaces no están avalados.
Uno de los principios que aplico cuando trato de ganar confianza en un dato es la diversidad de fuentes. Si estoy buscando una evaluación de una herramienta, trato de obtener opiniones de expertos, entusiasmo entusiasta y publicaciones.
Por ejemplo, si estuviera interesado en comprar una nueva cámara, buscaría en foros de usuarios, blogs profesionales y revistas que cubren fotografías. Por supuesto, cada grupo podría dar opiniones erróneas o erróneas, pero la probabilidad de que al menos dos estén equivocados o sean erróneos es menor que la probabilidad de que un grupo esté equivocado o sea engañoso.
Note que esto no me garantiza buenos resultados. Solo le proporciona un mayor nivel de seguridad de que la evaluación es correcta.
En segundo lugar, dedico más recursos a recopilar evaluaciones sobre datos de alto valor. No todas las preguntas merecen una investigación exhaustiva. Las opiniones sobre qué cómic web te hará reír no requieren más comprobaciones porque puedes confirmar el reclamo de forma trivial. Del mismo modo, las compras por menos de $ 20 en Estados Unidos rara vez requieren mucho, a menos que puedan tener un impacto en mi salud o seguridad. es decir, ¿el analgésico genérico es tan seguro como tomar una marca genérica? o ¿Debo comprar la unidad flash USB de vender A o vender B?
Creo en la fertilización cruzada entre fuentes de información. La mayoría de ellos comienzan en Internet, pero tenemos más y más formas de vincular recursos virtuales (por ejemplo, sitios web) con el mundo físico. Las siguientes son algunas formas que uso para ver si puedo confiar en un sitio web. Espero que ayude :)
Un poco más avanzado:
La pregunta no es del todo correcta: la confianza no es binaria. Creo que realmente quieres saber " ¿Cómo puedo decidir cuánto confiar en un sitio web en particular? "
Al final, creo que todo se reduce a cuánto debo debo confiar en cada sitio en particular.
Los sitios en los que más confío (banco, corretaje, etc.) con los que tengo una relación física sin conexión. Las compañías que administran esos sitios web tienen una importante reputación y presencia fuera de línea; se corresponden conmigo en los árboles muertos a través del correo postal y tienen un número de teléfono donde puedes hablar con un humano. Esto está algo fuera del alcance de la pregunta, ya que ha dicho que la única información que tiene es de la propia web, pero incluso así puede verificar la presencia física a través de múltiples vías. (Google, WHOIS, Wikipedia, reseñas en línea, por ejemplo, sitios web de comparación de bancos, etc.) Además, si tengo que "confiar plenamente" en un sitio - para obtener información financiera u otra información confidencial - es poco probable que lo haga a menos que Puedo tener una razón para confiar en ellos respaldada por una presencia fuera de línea significativa y confiable.
Los sitios en los que menos confío son aquellos en los que no tengo que confiar. Game Zone de JimBob & Happy Fun Time , por ejemplo: hmm, ¿dices que tienes este divertido juego realmente que tengo para habilitar a Java para jugar? Lo siento, pero no gracias. (Lo mismo es cierto incluso para sitios un poco más reputados que todavía tienen, por ejemplo, calculadoras financieras basadas en Java que me gustaría usar. Puedo encontrar una alternativa que no me exponga a una gran superficie de ataque).
Entre ambos hay sitios en los que debes confiar un poco , pero no completamente. En otras palabras, es posible que deba exponerse a cierto riesgo. Por ejemplo, H & R Block tiene una calculadora que calcula la cantidad de impuestos que debo pagar el año pasado. Tengo que habilitar las secuencias de comandos y la memoria flash para que funcionen sus calculadoras, y debo ingresar datos personales (por ejemplo, ingresos, estado familiar), y tiene que ser preciso (aunque no perfectamente preciso) para que pueda obtener la respuesta. querer. No tengo que dar ninguna identificación, así que más allá de la exposición a las secuencias de comandos y algunos datos limitados, es un riesgo aceptable; Puedo acceder a través del proxy para ocultar mis datos de mi ISP y ocultar mi ubicación del sitio.
Otros sitios desean recopilar toneladas de datos de usted, desean identificarlo personalmente, etc., y le ofrecen un servicio a cambio. Facebook o Google, por ejemplo; En menor medida, Stack Exchange. Por mi parte, elijo desconfiar activamente los omnipresentes sitios: esto requiere un esfuerzo, ya que tiene que bloquear múltiples dominios a través de NoScript u otros complementos del navegador para evitar que la compañía lo rastree en la web. Elijo no usar Facebook. Utilizo varios productos de Google, pero aquí he elegido pagar su servicio con mis datos; Sigo bloqueando sus dominios de seguimiento cuando no uso sus productos.
El problema en cuestión en la pregunta vinculada es si confiar en una imagen ISO de Ubuntu descargada de un sitio web en particular. Basándome en lo que he escrito anteriormente, creo que la respuesta es que no tiene que confiar mucho en eso, por lo que no debería. ("Confíe, pero verifique"). Descargue la imagen desde cualquier lugar con suficiente reputación para que no pierda tiempo y ancho de banda. Probablemente tiraría el torrente: no tienes que confiar en un solo sitio. Luego verifique el hash a través de múltiples canales: consulte el sitio web de Canonical, consulte otros sitios web, use varios proxies para verificar esos sitios web (por lo que es menos probable que tenga MITM'd), pregunte en el IRC, llame a un amigo, etc.
Mi enfoque para confiar en un sitio web es, de hecho, algún tipo de red de confianza. Por ejemplo: cuando escucho acerca de una pieza de software que quiero usar, pero no conozco la URL, no confío en los resultados de Google. Esas podrían ser falsificadas, debidas a SEO o paginas pagas.
Mi web de confianza en este caso es Wikipedia. Por supuesto, un enlace en Wikipedia también puede ser falsificado, pero es más improbable. Solo porque menos personas eligen de esta manera y más personas controlan los enlaces de forma auténtica.
Y, por supuesto, una página enlazada desde una página en la que ya confío es probable que también sea confiable.
Creo que mi opinión es una combinación de lo anterior
Por supuesto, depende de lo que quieras hacer con el sitio. Principalmente considero este tipo de cosas antes de comprar algo de ellos o poner información personal en un formulario en el sitio.
Mis decisiones personales tienden a girar en torno al sitio
Otro factor importante para las compras es si realmente tengo que ingresar los detalles de mi tarjeta de crédito en el sitio. Me molesta mucho menos el sitio cuando me lleva a Paypal o me entrega un portal de comerciantes conocido como Worldpay, por lo que el sitio no puede ver mis detalles de CC. A la inversa, si el sitio ofrece almacenar mis datos de CC para compras posteriores, sería muy poco probable que use esa instalación a menos que esté muy seguro de su posible nivel de seguridad (en mi caso, solo hay un sitio en el que he usado Amazon), y de hecho, un sitio más pequeño que ofrece esa instalación me pone un poco nervioso acerca del sitio en general.
Confío en los sitios en los que mucha gente confía. Las consecuencias de los ataques se reducen aún más si hay muchas víctimas. En un contexto empresarial, esto se traduce en lo siguiente: ¡no es un problema (para yo !) Ser atacado siempre y cuando la mayoría de (o todos) mis competidores sean atacados de manera similar. Hasta cierto punto, no ser atacado cuando los competidores lo están, podría ser un fallo táctico y aumentar la sospecha.
Esta es una tendencia genérica. Este defiende el uso de Windows en los servidores, en lugar de, digamos, NetBSD: cualquier agujero de seguridad intrínseco a Windows estará presente en millones de otros servidores, lo que diluye gravemente cualquier posible culpa. Del mismo modo, debe mantener en su navegador el conjunto estándar de certificados raíz, porque "eso es lo que hace todo el mundo": si una CA deshonesta permite un fraude a gran escala, habría tantas víctimas que los bancos se verían obligados a tomar una decisión razonable y amable. postura.
En un mundo de lobos y ovejas, la salvación de las ovejas reside en grandes números: apégate a la manada. No intentes ser un lobo si no puedes pagarlo.
Estoy considerando el uso de técnicas simples como la instalación de WOT add-one para conocer la reputación de un sitio en particular. Si el sitio tiene más reputación, hay menos posibilidades de problemas de seguridad.
Lea otras preguntas en las etiquetas trust