HTTPS és a lakat nem jelenti azt, hogy egy weboldal biztonságos

az Online vásárlókat gyakran arra ösztönzik, hogy gondoskodjanak arról, hogy választott online áruházaik biztonságosak legyenek, hogy a HTTPS-ben az ‘s’ látható legyen, és hogy a webböngészőben megjelenjen egy zár szimbólum. Ezeknek a látható mutatóknak a webhely biztonságának megerősítéseként történő terjesztése nemcsak felelőtlen; veszélyes is.

ahogy Brian Krebs nemrégiben rámutatott Krebs a biztonságról, még az USA-ban is. a kormányzati és szövetségi weboldalak bűnösek ebben a gyakorlatban, mintha a lakat garantálja a webhely hivatalos és biztonságos jellegét. Nem ez a helyzet. A zár szimbólum és a kapcsolódó URL, amely a https-t tartalmazza, egyszerűen azt jelenti, hogy a webböngésző és a webhely szervere közötti kapcsolat titkosítva van. Az jó, nem? Igen, a titkosított kapcsolat pozitív, legalábbis a felszínen, és magasabb szintű bizalmat jelent, amelyet állítólag egy SSL tanúsítvány használatával érnek el.

amint azt egy korábbi cikkben tárgyaltuk, maguk az SSL-tanúsítványok sokféle formában kaphatók, az OpenSSL-t használó barkácsolási erőfeszítésektől (akár saját tanúsító hatóság is lehet), valamint a Let ‘s Encrypt-től az elismert tanúsító hatóságoktól vásárolt megoldásokig. Senki ne tegyen mást, mint erősítse meg a domain tulajdonjogát, és a titkosítás megerősítésén kívül semmilyen módon ne erősítse meg az adott webhely biztonsági gyakorlatát. Megerősíti, hogy a webhely tulajdonosa rendszergazdai hozzáféréssel rendelkezik a webszerverhez, és a kiválasztott SSL-tanúsítványtól függően változó módon igazolta személyazonosságát.

illusztráljuk, hogy a felhasználóknak milyen lépéseket kell tenniük annak eldöntésekor, hogy megbíznak-e egy weboldalban, és bizonyos esetekben mennyire könnyű a kiberbűnözők számára az úgynevezett ellenőrzési folyamatok megkerülése.

a PhishLabs szerint 2019 utolsó negyedévében a bejelentett adathalász webhelyek 74% – a biztonságos volt, mind HTTPS, mind zár szimbólummal. Itt fejezhetem be ezt a bejegyzést, bizonyítva, hogy mindkét kritérium értéktelen a biztonság szempontjából.

a HTTPS nem jelent semmit

a HTTPS egyetlen előnye, hogy többé-kevésbé kényszeríti a titkosított kapcsolatokat az interneten, mivel enélkül sok böngésző megtagadja a webhely elérését és figyelmeztetést jelenít meg. Ha a felhasználó továbbra is csatlakozni akar a ‘nem biztonságos webhelyhez’, lehetséges, de a figyelmeztetés meg van adva, ami elriasztja a legtöbb felhasználót. Sajnos a számítógépes bűnözők nem hülyék, így a legtöbb SSL titkosítást fog használni, amint azt korábban említettük. Gratulálunk, most már közvetlen titkosított kapcsolata van egy számítógépes bűnöző webhelyével, amelyet kifejezetten adathalász támadásokra, rosszindulatú programok kézbesítésére vagy más motivációkra, például adatgyűjtésre terveztek.

a domainek nem megbízhatóak

bárki létrehozhat egy weboldalt, amelynek tárhelyköltsége az ingyenes (akár törvényes, akár feltört aldomain), a költségvetéstől a dedikált szerverekig terjed. Egyes domainek megbízhatóbbak, mint mások, de ahogy Brian Krebs bebizonyította (igen, rendszeres olvasó vagyok), még a .gov domainek is (az Egyesült Államok kormányzati szervezeteinek fenntartva.) könnyen lehet hamisítani, ha azok, akik a domain csalások készek használni az illegális módszerek. A szükséges kutatási szint minimális volt. Feltételezem, hogy a. MIL és. edu domainek robusztusabbak, de ki tudja, igaz? Az egyik saját domain használ .com.hk csak a Hongkongban bejegyzett vállalatok számára érhető el. Ez volt a fájdalom, hogy hozzanak létre – igénylő több e-mailt, másolatot az én cégbejegyzés cert, cég bankszámlája, az útlevelem, és tartózkodási adatait. De legalább tudom, hogy a folyamat Jó, több kormányzati szervvel való keresztellenőrzést is magában foglal. Ugyanez nem igaz a .com és más legfelső szintű domainekre, helytől függetlenül. Ha valaki kaphat egyet, hogyan adhat bizalmat egy weboldalnak?

a Whois ellenőrzése többnyire értéktelen

a spam megelőzése érdekében a legtöbb webhely elrejti a webhely elérhetőségeit, vagy legjobb esetben csak általános kapcsolatokat biztosít. A tárhelyszolgáltató bárhol elhelyezhető, és ritkán tükrözi a vállalkozás fizikai helyét.

mindig szükség van az átvilágításra

amint azt a korábbi cikkekben említettük, néhány alacsony forgalmú webhely tulajdonosa és karbantartója vagyok. Elmentem ingyenes Let ‘ s Encrypt SSL certs (jóvoltából én tárhely szolgáltató) a kényelem. Jelenleg nincs e-kereskedelem, és a fizetési átjárókat és a vállalati számlákra történő közvetlen elhelyezést preferált fizetési lehetőségként használom. Ezért nincs PCI-DSS követelményem, így mások kezelik ezt a rémálmot.

azonban számos szabályozásnak (beleértve a GDPR-t is) megfelelően minden webhely rendelkezik egy részletes adatvédelmi és cookie-Szabályzattal, amely pontosan meghatározza, hogy milyen információkat gyűjtenek a webhely látogatóitól. Tudom, hogy webhelyeim az iparág legjobb gyakorlatait követik, azonnal frissítik biztonsági javításokkal stb. Hogyan biztosíthatom, hogy a meglátogatott oldalak ugyanolyan biztonságosak és megbízhatóak legyenek? És ami még fontosabb, mik a kockázatok?

a biztonság elsődleges jeleként a HTTPS-re támaszkodás kockázata

a kiberbűnözők többnyire HTTPS-t használnak, és maguk a webhelyek gyakran adathalász vagy rosszindulatú kampányokhoz kapcsolódnak. Akkor érkezik oda egy e-mail linket, ennek eredményeként a kereső lekérdezés vagy áttétel egy másik oldalon. Igen, tisztában vannak a SEO-val is. A dolog az, természetesen, ők birtokolják a weboldalakat, így bármit telepíthetnek, amit szeretnének, hogy céljaik sikeresek legyenek.

az ingyenes letöltés pusztítást okozhat a rendszerben, vagy elindíthatja a keylogging eszközöket, egy linkre kattintva elindíthat egy programot, vagy szerkesztheti a rendszerleíró adatbázist a háttérben, mivel az értesítési ablakokat gyakran szándékosan elkerülik. Ha bármire kattint ezeken a webhelyeken, problémákat okozhat. Valójában még egy weboldal betöltése is megteheti, mivel sok plugin áll rendelkezésre a Látogatói adatok gyűjtésére, miután csatlakoztak a webhelyhez. Ha az operációs rendszer vagy a webböngésző biztonsági réssel rendelkezik (még az alapvető látogatókövető eszközök is megszerezhetik a böngésző és az operációs rendszer sajátosságait), akkor nyitott a támadásra. Az Ön IP-címe lesz (kivéve, ha VPN-t használ) a megfelelő hacker eszköz elindításához.

néhány tipp és figyelmeztető jelzés az Online védelem érdekében

az alábbi (nem teljes körű) tippek csökkentik a kockázatot a webböngészés során:

böngészők, operációs rendszerek és szoftverek biztonsági frissítései és javításai

azonnal telepítik őket, mivel a hackerek és a penetrációs tesztelők egyaránt hozzáférhetnek a legújabb biztonsági rések nyilvánosan elérhető adataihoz, és eszközöket használhatnak a konkrét biztonsági rések keresésére.

biztonságos böngészők használata (beépített biztonsági opciókkal)

a választás személyes preferencia. Öt vagy hat különböző böngészőt használok, köztük a brave, a Firefox és a Tor.

a böngészés védelme érdekében használjon kiegészítőket és bővítményeket

a webböngésző biztonságának növelése jó ötlet. Az Electronic Frontier Foundation bármi méltó kiegészítés, csakúgy, mint a DuckDuckGo Privacy Essentials.

VPN

használjon VPN-t a tényleges IP-cím elrejtéséhez, és körülbelül 30 percenként ciklusozza. Még az ingyenes is elrejti Önt a számítógépes bűnözőktől. Válasszon bölcsen, mivel egyes VPN-ek csupán adatokat gyűjtenek a marketingszakemberek számára, és később magukat a hackerek célozzák meg. Kereskedelmi megoldást használok.

SEO

egy olyan eszköz használata, mint a SEO Quake, adhat néhány nyomot a weboldal legitimitásáról, beleértve a korot, a külső és belső linkek számát és még sok mást.

a honlap

gyanús honlapok gyakran hiányoznak az alapokat. Az angol gyenge lehet. Lehet, hogy nincs valódi információ a weboldal tulajdonosáról, például elérhetőségei. Általában nem igényel adatvédelmi és cookie-irányelveket. Lehet, hogy a Bitcoint vagy más digitális pénznemeket preferált fizetési módként nyomja meg. A legtöbb esetben, akkor csak úgy érzi, ‘off’, vagy kínálnak valamit az árak túl hihetetlen, hogy igaz legyen. A jelenlegi éghajlatban a COVID-19 csalások gyakoriak, ezért legyen óvatos.

következtetés

összefoglalva, amikor új webhelyeket látogat meg, ne támaszkodjon a zár szimbólumra vagy a HTTPS-re. Tekintse meg ezt az oldalt, és fontolja meg, miért van itt. A Progress egy jól ismert márka, globális eléréssel. Legtöbben ragaszkodunk a bevált márkákhoz, de a keresés új termékhez vagy szolgáltatóhoz vezethet. Végezze el az átvilágítást, mielőtt vásárolna, vagy akár új webhelyet fedez fel. Keresés a domain név idézi majd add hozzá a ‘áttekintés’, vagy ‘átverés’, hogy a támogatás ellenőrző (szem előtt tartva, hogy hamis véleményeket, valamint a kapcsolódó oldalak is lehetséges). Igen, csalók hiszem, mindent. Sok szerencsét …

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.