Security 如何打击网站欺骗/钓鱼？

针对网站用户界面欺骗的威胁，您建议的解决方案是什么？

一种解决方案是为每个用户自定义网站。只有当用户对网站的看法基本相同时（一次欺骗-多个受害者），欺骗才有效。因此，例如，如果eBay允许您配置自定义背景颜色，您应该能够注意到您正在查看的页面是某种欺骗（不知道您选择的颜色）。真正的解决方案要复杂一些（比如在浏览器中配置一个只有浏览器才能在密码控件或url栏中呈现的秘密关键字，等等），但想法是一样的

---

为每个用户定制UI，以使欺骗（依赖于大多数希望看到基本相同UI的用户）停止工作。它可以是基于浏览器的解决方案，也可以是网站向用户提供的解决方案（有些已经提供了）。

我看到一些网站允许您选择“个人”图标。无论何时登录，该图标都会显示为您在其网站上的证明。

• 当用户登录时，您可以提出一个问题（该问题由用户用答案编写）

• 你可以在用户上传的日志之后显示一张图片，如果用户看不到他的图片（只有他才能看到的私人图片），那么它就不是真实的网站

---

根据定义，任何依赖网站在您登录后向您显示个性化信息的解决方案都无法抵御网络钓鱼者。如果您尝试登录，他们已经成功了

FWIW，我还不知道真正的答案，也许这个问题会带来一些好主意。然而，我专业地参与了网络钓鱼、不良域名注册等方面的研究

我不相信有任何重大的技术解决方案，网站开发人员可以实现。同样，根据定义，如果你的用户到达一个钓鱼网站，你就不再是控制者

---

这就是为什么所有当前的反钓鱼技术都存在于浏览器中，而不是存在于钓鱼网站中。

解决此问题的关键在于识别对真实网站的请求和对欺骗网站的请求之间的差异

最简单的区别是一些基于cookie的UI首选项。您（真实）站点上的cookie集只会返回到您的站点，而不会发送到欺骗站点

---

现在有很多原因表明有效的cookie可能不会发送到您的站点，用户可能正在使用另一台计算机，或者他们可能已经过期/删除了cookie，但至少您可以保证它不会发送到欺骗站点。

我认为这里唯一的答案是为更好的人编程

---

像定制外观或上传图像这样的操作只有在有问题的用户真正意识到这些事情是错误的情况下才起作用。我认为除了经常访问的网站外，大多数用户永远不会认识到这些东西。即使他们这样做了，他们也可能将其归因于网站设计的改变，而不是网络钓鱼。

个人定制是不好的-真正的网站在你登录之前不知道你是谁，因此，伪装成他们的网络钓鱼者可能已经拥有你的凭据。欺骗网站可以轻松获取你的登录详细信息，从真实网站收集正确的个人图标并显示给你。这些解决方案仍然依赖于你在确认你在正确的网站之前输入你的凭据。确定在问题是什么？Daok：标题的

钓鱼

部分（很微妙，不是吗？）-钓鱼的全部目的是通过假装是合法站点来收集凭据，对吗？如果你有我描述的这种机制，你就知道你是否被钓鱼，并采取一些措施来阻止它。对吧？但是太晚了。到那时，网络钓鱼者拥有的僵尸网络可能已经更改了密码、有线资金等。问题是所谓的“降级攻击”。用户如何辨别钓鱼网站和真实网站之间的区别？无论出于何种原因，真实网站无法发送所需的cookie。这与他们知道的方式相同——通过查看URL。问题是，如果没有定制的用户界面，他们会对输入他们的身份保持警惕。在任何情况下，作为一个网站，你能保证的唯一真正的信息只会发送到你的网站，那就是基于cookie的Hanks，rook。让我（和其他读者）知道你会改进什么：）不，这只是意味着对于你已经有账户的网站来说，这确实是一种有效的防止钓鱼的措施。这是解决方案的一大部分。事实上，它并没有解决登录前阶段的问题，并不能说明它在登录后的有效性。