vitus_wagner | Закрывайте неиспользуемые вкладки

http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/

Тут вот оказыватся, придумали способ воровать пароли подменяя содержимое открытой в браузере страницы. Так что если вы открываете много-много вкладок, и забыавете про них на недели, можете нарваться.

Впрочем я всегда рекомендовал не забывать открытый браузер надолго вообще, закрывая его не реже раза в день. Ну и иметь не более 5-6 вкладок.

Crossposts: http://vitus-wagner.livejournal.com/1011257.html

Flat | Top-Level Comments Only

From:

tyrex.livejournal.com

современные браузеры будут залупаться. не вставят логин в форму, не подскажут запомненный пароль, а то ещё и заорут, мол, уверен ли ты, что надо отправлять данные через незащищённую форму?
в общем, пустые умствования.

From:

vitus_wagner

Почему форма-то незащищенная? Ну а пользователь когда ему подобные вопросы задают, их игнорирует и не глядя жемет на ОК.

А пароли современные браузеры норовят вставлять, ориентируясь на имена полей формы. Которые, как понятно. не сложно подделать.

Edited Date: 2014-09-11 12:39 pm (UTC)

From:

tyrex.livejournal.com

сферический пользователь в вакууме.
там действительно произойдёт разрыв шаблона, я, например, сразу начинаю разбираться, если форма логина меня не помнит, хотя обычно должна. да и на адресную строку можно глянуть.
короче, массово не прокормится, быстро закроют.

From:

inkelyad.livejournal.com

Это, кстати, один из аргументов, почему строку адреса из браузера убирать нельзя. А то что-то порываются время от времени.

From:

veldandi.livejournal.com

Вы не представляете, сколько людей понятия не имеет, что для чего эта штучка сверху.

Я сама не верила, пока не увидела, как, имея WEB-адрес, открывают сайты через поиск maps.google.com по названию фирмы.

From:

qkowlew.livejournal.com

Да, это массовый идиотизм, я его встречаю ежедневно.

From:

elvit.livejournal.com

Поэтому, кстати, не хочу возвращаться на Оперу, которая скрывает часть урла. Приходится делать лишний клик, когда его бывает нужно уточнить... беееесит.

From:

rainy-sunny.livejournal.com

Там эта фигня в настройках отключается, если что.

From:

bookmist.livejournal.com

Как будто текст в ней нельзя сменить. (address bar spoofing)

From:

salas.livejournal.com

А пароли современные браузеры норовят вставлять, ориентируясь на имена полей формы.
Именно пароли, а не обычные (открытые) текстовые поля?

From:

avnik.livejournal.com

Вот подстановка логинов/паролей таки смотрит на домен

From:

Шура Люберецкий (from livejournal.com)

> не вставят логин в форму, не подскажут запомненный пароль

Это кто-то заметит?

> через незащищенную форму

В смысле, без https? Так его, спасибо гуглу, прикручивают все и везде, да и не так это сложно.

From:

tyrex.livejournal.com

ну, я замечаю. у меня нет оснований считать всех людей глупее себя.

From:

Шура Люберецкий (from livejournal.com)

Всех - не надо. Для успешности фишинга достаточно, чтобы таких "глупых" нашлось просто достаточное количество.

From:

vitus_wagner

Миллион - среди пользователей Яндека, 5 миллионов пользователей гугля etc..

From:

tyrex.livejournal.com

0. как-то попали на основной сайт, который не гугль и не яндекс и даже не лентару.
1. глупые
2. сутками держат десятки открытых закладок
3. не закроют сразу эту вкладку по причине, что им туда сейчас не надо

очень растянутый во времени процесс сбора. велик шанс, что его прервут жалобой на взлёте.

From:

Шура Люберецкий (from livejournal.com)

Ну вот коммент выше показывает, что "глупых" довольно много.

Вот растянутость по времени - тут соглашусь, плюс усложнение процесса - так что увеличить дробь "~~произведенные товары~~наловленные пароли/затраченный труд" этим методом может и не удасться.

From:

inkelyad.livejournal.com

Это кто-то заметит?
Разумеется, поскольку сам пользователь пароля совершенно не помнит. В результате он просто войти не сумеет.

From:

phd_ru

Закрывать не ЧАЩЕ раза в день?!

From:

vitus_wagner

Не реже, конечно.

From:

themalcolm.livejournal.com

А если у меня открыто двадцать вкладок, и я их все посещаю два-три раза в день минимум, а бывает и по пятнадцать раз на дню?

From:

vitus_wagner

То лучше держать их не вкладками, а закладкми. Ведь все равно же при каждом посещении им reload делать приходится.

From:

themalcolm.livejournal.com

Ну так с этой точки зрения лучше вообще ни одной вкладки открытой не держать, а только закладки. Чем пять-шесть лучше двадцати, при одинаковой частоте доступа?
Вот только по кликам оно неэкономно. И чем больше сайтов ежедневно посещаешь, тем более неэкономно.

Edited Date: 2014-09-11 02:11 pm (UTC)

From:

mc6312.livejournal.com

Не обязательно, если там жабоскрип крутится. Веб-морды почты гугля/яндекса/... сами себе новые письма проверяют и т.п.

From:

themalcolm.livejournal.com

Ещё, кстати, есть то соображение, что когда ты посещаешь много сайтов - про один можешь элементарно забыть. Со мной это было: несколько месяцев хотел сыграть в мафию, заглядывал на соотвествующий сайт каждый день - потом, при перезагрузке системы, вкладка вылетела - запамятовал - потом когда пришёл, крайне неприятно.
Висящая вкладка служит напоминанием.

From:

nicka-startcev.livejournal.com

вот кстати да.

а "держать не более 5 вкладок", "перезапускать броузер не реже раза в день" - это от убогости и кривизны современных броузеров, которые то падают то текут. плюс, такой подход стимулирует авторов броузеров игнорировать эти проблемы, занимаясь вместо них чем-то другим.

еще плюс вкладки перед закладкой - ее можно ОДИН РАЗ отмотать до нужного места, выбрать какие-нибудь irf1234 и отключить показ irf666-740, итп. а с закладкой это придется делать каждый раз.

From:

vitus_wagner

Вообще-то бумажки с поверхности стола полезно тоже полезно перед уходом с работы раскладывать по ящикам и запирать на ключ.

Просто не надо оставлять недоделанного.

А привычка людей не закрывать браузеры провоцирует авторов браузеров не делать в них систему запоминания текущей позиции, а авторов веб-страниц не расставлять на страницах якоря, позволяющие сослаться в нужное место страницы.

From:

nicka-startcev.livejournal.com

>Просто не надо оставлять недоделанного.

нельзя браться за дела, которые не сможешь сделать за день. так?

>бумажки с поверхности стола полезно тоже полезно перед уходом с работы раскладывать по ящикам

каждый вечер убирать, каждое утро доставать и раскладывать в том же порядке, тратя на это время и голову. очень странная идея для специалиста по упрощению/автоматизации.

>и запирать на ключ.

компьютер от офисного стола тем и отличается, что его можно закрыть на ключ одним движением без проделывания мартышкиной работы сначала "переложить в ящики", а потом "разложить обратно".

>А привычка людей не закрывать браузеры провоцирует авторов браузеров не делать в них систему запоминания текущей позиции

странно. насколько помню, всякие либру и прочие книжные сайты обычно помнят правильно даже после перезапуска броузера, если он был корректно завершен, а не упал насмерть.

From:

vitus_wagner

Можно браться. Но потом за собой надо убраться, законсервировав недоделанное.

Я не специалист по упрощению/автоматизации, я специалист по безопасности. Я считаю существовашую некогда в КГБ/ФАПСИ практику опечатывания дисководов для гибких дисков по окончании рабочего дня - правильной. Правда, распростанение ее на бездисковую ЕС-1840 - перегибом.

Кстати, удобного способа открыть на мобильнике страничку на самиздате с того места, на котором остановился на десктопе, НЕ ИСПОЛЬЗУЯ стороннего сервера я не знаю.

From:

otstavnov.com (from livejournal.com)

На мой взгляд, рекомендация не к месту.
Правильная рекомендация все же: вводя пароль, всегда смотреть, на каком сайте ты его вводишь.

From:

vitus_wagner

На мой взгляд, правильная рекомендация - пароль вводить только в только что специально для этого открытую (с использованием заведомо надежного источника URL, например закладок) вкладку.

Это чуточку надежнее, чем "всегда смотреть." И привычка не держать лишних открытых вкладок способствует такому поведению.

From:

otstavnov.com (from livejournal.com)

Хм, только что обнаружил, что Iceweasel (32.0, Debian-AMD64) перестал выделять цветом аутентифицированный домен в строке URL.

From:

vitus_wagner

Сейчас https стали тыкать куда ни попадя, поэтому неинтересно. А на EVA по-моему все забили.

From:

otstavnov.com (from livejournal.com)

Это вот это свойство называлось EVA?
А мне нравилось. Смысл же не в том, что оно показывало факт соединения по https, а в том, что показывало имя, на которое выписан сертификат ключа.

From:

inkelyad.livejournal.com

Почему называлось? И сейчас есть. Только это достаточно дорого, такой сертификат себе сделать. Но некоторые пользуются. Скажем, главная страница PayPal вполне себе пишет, что это именно PayPal.

From:

otstavnov.com (from livejournal.com)

А, понял, "Гуглу" не по карману. :) Я просто никогда не пользовался их Web-интерфейсом к почте, и не знал, есть ли.

А почему то же самое не показывать по всем именным сертификатам?

From:

qkowlew.livejournal.com

мне доводилось разгребать последствия этого типа атак еще в эпоху, когда табов не было ни в одном браусере. Но сейчас при большом числе табов у узера стало опаснее, да.

From:

begundan.livejournal.com

Мой AVG вроде поймал. Да и понятно, что "закрывайте вкладки", "не имейте запоминающиеся пароли" - все это советы для тех, кому действительно есть что терять. А для обычных людей ежедневное удобство важнее, и развиваться должны браузеры а не люди.

From:

nathoo.livejournal.com

Фишка в том, что переход из категории "обычные люди" в категорию "люди, которым есть что терять" происходит как правило ВНЕЗАПНО (и зачастую вообще незаметно для переходящего), а безобразные привычки остаются. Посему, информационной гигиене надо учить с детства, как руки мыть.

From:

vitus_wagner

Я бы даже сказал что "тем, кому есть что терять", является любой, у кого есть достаточно мощный процессор и широкий канал для того, чтобы этот компьютер стал интересен ботоводам.