Security 如何防止浏览器中的人攻击？

我一直在读关于MitB攻击的书，有些事情让我担心

发件人：

使用强大的身份验证工具只会增加客户和银行对交易安全性的错误信心。

打击MitB攻击最有效的方法之一是通过带外（OOB）事务验证过程。这通过验证主机（银行）通过浏览器以外的渠道向用户（客户）接收的交易详细信息，克服了MitB特洛伊木马

所以如果我明白了，唯一真正安全的方法是非浏览器确认方法。（如电话或其他外部工具）

电子邮件是否算作OOB交易？或者MitB会发送一封假电子邮件吗

有没有办法防止只使用代码的MitB

编辑：我问这个问题是因为我们当地的银行系统正在使用一个密码，你必须推取一个号码，然后将该号码输入到交易表单的一个字段中

我不知道这是否被认为是安全的，因为看起来MitB攻击只是使您所做的一切看起来都是安全和正确的，但实际发生的是表单数据在提交时被更改，现在正在传输到其他银行帐户。这样它就可以访问这个钥匙号码了

电子邮件是否算作OOB交易

考虑到像GMail这样的网络邮件服务的流行，我想说不。即使这种攻击的目标没有使用网络邮件，控制目标浏览器的攻击者也可能会发出一封假电子邮件，正如您所建议的那样。

在中，“攻击方法”的步骤1如下所述：

特洛伊木马会感染计算机的软件，包括操作系统或应用程序

因此，您的问题的答案是“否”：一旦O/S被感染，恶意软件（至少理论上）也可以拦截您的电子邮件

---

另一方面，一些客户端平台（例如，甚至移动电话，更不用说专用的销售点终端）比其他平台更不容易受到感染。

我想您可以使用交易信息的关键部分作为第二或第三级交易验证步骤的一部分。也就是说，如果我认为我告诉了银行账户#12345，而它听到了#54321，因为数据被这种类型的攻击掺假，那么二次验证将无法通过加密检查。银行也有可能回显一些更难更改的内容，比如包含相关信息的图像

---

这类讨论的问题是，它总是会变得更加复杂。电子邮件是无效的带外步骤，因为，我必须想象我有一个rootkit。。。如果我停止，我必须想象我的操作系统实际上是一个运行在邪恶虚拟机中的来宾操作系统。。。如果我停止这样做，我想我不得不想象这是矩阵，我不能相信任何东西都能用200美元的可用信用来保护我的visa卡

一般来说，如果您的机器受到感染，那么无论发生什么情况，您都会受到攻击

物理代币或“带外”代币旨在解决“身份”问题，并使银行更确信登录的人就是他们所说的人。这类机制通常涉及使用“一次性代码”技术，这样即使有人正在记录与银行的对话，令牌也无法重用。然而，如果恶意软件实时拦截，那么他们可以在您成功登录后恶意控制帐户，但银行通常在您每次尝试从帐户转出资金时都需要一个新的“代码”。因此，恶意软件必须等待您合法地执行此操作，然后修改请求。但是，大多数恶意软件都不是实时的，它们会将数据发送给第三方以供收集和以后使用。使用这些“一次性令牌”技术将成功地防止登录数据的这种后处理，因为记录的数据以后不能用于登录

---

要回答您的问题，没有办法仅在代码中对此进行辩护。你所做的任何事情都可能被恶意软件专门处理。

这是我对浏览器中的人的观点。浏览器中的人好像：

受害者站起来，离开电脑，将背部移到电脑旁，这样他就不能触摸键盘、移动鼠标，甚至看不到屏幕

一名黑客坐在受害者电脑后面

如果受害者想使用他的电脑，他必须让黑客帮他做。如果他想看到任何结果，他必须让黑客读取显示器上的数据

黑客尽最大努力让用户相信他在做他要求的事情，并重复他所做的事情。但是，要毫不留情地从这种情况中获益

作为一个简单的例子：

受害者可能会要求黑客填写交易表数据，并将500美元转账给mom

相反，黑客可以键入将10000美元转账给杰克。（发送前篡改表单数据）

系统可能会显示，我已将10000美元转移给杰克，但黑客说500美元已转移给杰克。（篡改结果HTML）

受害人要求查看其账户余额，以确保转账完成

黑客可以说帐户余额是正确的（例如，可以通过删除余额表的最后一行并更改HTML中的余额金额来实现）

至于电邮：

你们在等一封电子邮件，问黑客我有银行的确认电子邮件吗

由于你看不到显示器，他说是的。（从技术上讲，他可以很容易地生成一封假电子邮件）。 （即使你坐在另一台干净的电脑上，也会再次收到一封假电子邮件）

<