[Hacking] Как да се предпазим от скрипт ?


2
Не мислих, че точно на мен ще ми се случи, но уви попаднах на сайт, който 1 към 1 изглежда като facebook, но не е (url-то беше друго). Не се логнах защото не съм идиот, но все пак той успя да ми вземе някак authentication-a (предполагам скрипт, най-логично е имайки предвид, че не съм цъкал нищо). Как да се предпазя от такива сайтове?? Линкът беше минал през съкращението на url-та на google и нямаше как да знам какво е.



Отговори



6

Кратък отговор: Ами то за това е хубаво сайтовете да имат https с валиден сертификат и потребителите да гледат къде влизат.

Малко по-дълъг отговор:

Ако url-а е facebook.com/... тогава някой ти прави man-in-the-middle. Тогава https се намесва хубаво, или получаваш http достъп (а facebook препращат към https by default) или browser-а ти казва, че сертификата има невалиден/untrusted.

Ако url-а не е facebook.com/... сайта няма как да ти пипа cookie-то на facebook. Но все пак ако си написал паролата си (дори без да натискаш Enter/бутон) знаеш, че с малко javascript може да се вземе какво си написал в полето.

Във всички случаи е хубаво да се внимава, когато става въпрос за сигурност.


от cuki (7696 точки)


0
Въпросът е как точно попадаш на този url, и от къде знаеш, че данните за автентикация са взети. Съвет: бекъп и очите на 4!!!

от vaspet (105 точки)


2

Попринцип съкратените пътища не са никак безопасни и често се използват за такива цели.

Ако имаш съмнения за даден "Shortened URL" без да го отваряш можеш да го провериш с услуги като https://unshorten.it/http://unfurlr.com/ и други подобни.

Edit: Промяна на URL


от owolp (175 точки)


2

От гледна точка на сигурност ползването на такава услуга (сайт) също не е окей. Може локално да се провери към какво би препращал линка.

В добавка на горния ми отговор: понеже (явно) съм си изградил като навик в непознати http сайтове да проверявам ръчно дали предоставят сигурен начин за връзка - първия сайт има валиден сертификат - https://unshorten.it/ - даже ползват елиптични криви! Както и да е, just to point out.


от cuki (7696 точки)

0

Съгласен съм с теб, промених линка на https :)

Малко офф-топик и нещо старо, но интересно за гледане: https://youtu.be/ibF36Yyeehw


от owolp (175 точки)


-1

Най-лесният вариант е да забраниш JS в браузъра. Естествено, тогава не знам какво би правил с въпросния браузър.

(FF - javascript.enabled = False в about:config, Chrome - Settings>Advanced>Privacy>Do not allow any site to run JavaScript, Edge в линка, а ако ползваш друг браузър - недей да ползваш друг браузър)




1
Две неща, които е полезно да има инсталирани така или иначе - Malwarebytes с включен online shield и Web of Trust WOT extension за Chrome/Firefox.

от stoberov (3451 точки)


1

Второто изглежда има потенциал на пръв поглед. Разбира се, може да ползваш друг browser, който малко повече се грижи за сигурност / tweak-нат firefox, extension, който блокира някой javascript/много javascript/целия javascript. Винаги има trade off с usability и винаги е хубаво потребителя да внимава :D


от cuki (7696 точки)