![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Google Password Alert
2015-05-04 01:28 pmАвторы нового расширения к Google Chrome под названием "Password Alert" придумали интересную идею.
http://googleblog.blogspot.com/2015/04/protect-your-google-account-with.html
1) Поскольку среднестатистическому пользователю всё равно невозможно объяснить, что:
1.1) при вводе паролей нужно смотреть только на URL и полностью игнорировать дизайн сайта
1.2) и что в URL'е вида http://mail.google.com.lulzhaha.ws/... домен второго уровня вовсе не google.com,
2) а также поскольку антифишинговые списки могут не успеть загрузиться в браузер в случае направленной zero-day attack на конкретно этого пользователя с использованием индивидуального для него домена, например mail.google.com.foobar-454317.dyndns.org
Предлагается такое решение:
Показывать предупреждение, если пользователь пытается набирать пароль к своему Google Account на web-странице, домен которой не имеет отношения к компании Google.
Гениально! Заодно поощряется практика выбора разных паролей для разных сайтов.
Ещё требуется усовершенствование реализации, усовершенствование ТЗ (безусловный запрет на передачу данных, как при подделке https-сертификата, а не предупреждение пользователю-дураку, которое он не прочтёт или не поймёт), а также обобщение на другие сайты за пределами Гугла, однако самая концепция очень новая и интересная. И действующий прототип уже есть.
http://googleblog.blogspot.com/2015/04/protect-your-google-account-with.html
1) Поскольку среднестатистическому пользователю всё равно невозможно объяснить, что:
1.1) при вводе паролей нужно смотреть только на URL и полностью игнорировать дизайн сайта
1.2) и что в URL'е вида http://mail.google.com.lulzhaha.ws/... домен второго уровня вовсе не google.com,
2) а также поскольку антифишинговые списки могут не успеть загрузиться в браузер в случае направленной zero-day attack на конкретно этого пользователя с использованием индивидуального для него домена, например mail.google.com.foobar-454317.dyndns.org
Предлагается такое решение:
Показывать предупреждение, если пользователь пытается набирать пароль к своему Google Account на web-странице, домен которой не имеет отношения к компании Google.
Гениально! Заодно поощряется практика выбора разных паролей для разных сайтов.
Ещё требуется усовершенствование реализации, усовершенствование ТЗ (безусловный запрет на передачу данных, как при подделке https-сертификата, а не предупреждение пользователю-дураку, которое он не прочтёт или не поймёт), а также обобщение на другие сайты за пределами Гугла, однако самая концепция очень новая и интересная. И действующий прототип уже есть.
