Security 如何防止浏览器中的人攻击?
我一直在读关于MitB攻击的书,有些事情让我担心 发件人: 使用强大的身份验证工具只会增加客户和银行对交易安全性的错误信心。Security 如何防止浏览器中的人攻击?,security,browser,trojan,Security,Browser,Trojan,我一直在读关于MitB攻击的书,有些事情让我担心 发件人: 使用强大的身份验证工具只会增加客户和银行对交易安全性的错误信心。 打击MitB攻击最有效的方法之一是通过带外(OOB)事务验证过程。这通过验证主机(银行)通过浏览器以外的渠道向用户(客户)接收的交易详细信息,克服了MitB特洛伊木马 所以如果我明白了,唯一真正安全的方法是非浏览器确认方法。(如电话或其他外部工具) 电子邮件是否算作OOB交易?或者MitB会发送一封假电子邮件吗 有没有办法防止只使用代码的MitB 编辑:我问这个问题是因为
打击MitB攻击最有效的方法之一是通过带外(OOB)事务验证过程。这通过验证主机(银行)通过浏览器以外的渠道向用户(客户)接收的交易详细信息,克服了MitB特洛伊木马 所以如果我明白了,唯一真正安全的方法是非浏览器确认方法。(如电话或其他外部工具) 电子邮件是否算作OOB交易?或者MitB会发送一封假电子邮件吗 有没有办法防止只使用代码的MitB 编辑:我问这个问题是因为我们当地的银行系统正在使用一个密码,你必须推取一个号码,然后将该号码输入到交易表单的一个字段中 我不知道这是否被认为是安全的,因为看起来MitB攻击只是使您所做的一切看起来都是安全和正确的,但实际发生的是表单数据在提交时被更改,现在正在传输到其他银行帐户。这样它就可以访问这个钥匙号码了 电子邮件是否算作OOB交易 考虑到像GMail这样的网络邮件服务的流行,我想说不。即使这种攻击的目标没有使用网络邮件,控制目标浏览器的攻击者也可能会发出一封假电子邮件,正如您所建议的那样。在中,“攻击方法”的步骤1如下所述:
另一方面,一些客户端平台(例如,甚至移动电话,更不用说专用的销售点终端)比其他平台更不容易受到感染。我想您可以使用交易信息的关键部分作为第二或第三级交易验证步骤的一部分。也就是说,如果我认为我告诉了银行账户#12345,而它听到了#54321,因为数据被这种类型的攻击掺假,那么二次验证将无法通过加密检查。银行也有可能回显一些更难更改的内容,比如包含相关信息的图像
这类讨论的问题是,它总是会变得更加复杂。电子邮件是无效的带外步骤,因为,我必须想象我有一个rootkit。。。如果我停止,我必须想象我的操作系统实际上是一个运行在邪恶虚拟机中的来宾操作系统。。。如果我停止这样做,我想我不得不想象这是矩阵,我不能相信任何东西都能用200美元的可用信用来保护我的visa卡 一般来说,如果您的机器受到感染,那么无论发生什么情况,您都会受到攻击 物理代币或“带外”代币旨在解决“身份”问题,并使银行更确信登录的人就是他们所说的人。这类机制通常涉及使用“一次性代码”技术,这样即使有人正在记录与银行的对话,令牌也无法重用。然而,如果恶意软件实时拦截,那么他们可以在您成功登录后恶意控制帐户,但银行通常在您每次尝试从帐户转出资金时都需要一个新的“代码”。因此,恶意软件必须等待您合法地执行此操作,然后修改请求。但是,大多数恶意软件都不是实时的,它们会将数据发送给第三方以供收集和以后使用。使用这些“一次性令牌”技术将成功地防止登录数据的这种后处理,因为记录的数据以后不能用于登录
要回答您的问题,没有办法仅在代码中对此进行辩护。你所做的任何事情都可能被恶意软件专门处理。这是我对浏览器中的人的观点。浏览器中的人好像: