如何选择是否信任特定网站?

信息安全 相信
2021-09-04 14:53:33

从@GrahamLee 对此问题的评论来看,这是一个很好的观点:

当与我的信任决定相关的唯一信息是网络时,我如何选择是否信任特定网站?

我相信它是因为历史吗?它总是出现正确的,所以现在可能是?我是否计算信任它的其他网站的数量?信任网络概念?

还是什么?

4个回答

我相信信息来源之间的交叉融合。它们中的大多数都是从互联网开始的,但我们有越来越多的方法将虚拟资源(例如网站)与物理世界联系起来。以下是我用来查看是否可以信任网站的几种方法。我希望它有帮助:)

  • 该网站看起来专业吗?
  • 网站有证书吗?它有效吗?请记住,不幸的是,无效证书非常普遍。
  • 如果站点中有登录/电子商务部分,是否使用 SSL?
  • 我是否在论坛/邮件列表中找到有关此网站的任何正面/负面反馈?
  • whois.net 信息是否为我提供了任何有助于我信任命名空间所有者的信息?
  • 在网站的联系方式中是否有地址?使用搜索引擎,我可以在同一地址找到其他企业吗?如果网站合法,我可以找到另一家公司的电话号码与他们核实吗?
  • 我可以在谷歌街景上看到建筑物吗?这座建筑能给我信心吗?

更高级一点:

  • 如果有登录功能,简单的注入技术有效吗?
  • 浏览 HTML/JavaScript 代码,我是否有理由不信任该网站?在这里,我正在寻找可见的访问控制缺陷、存储的日志记录和密码......
  • 如果网站使用 CMS(例如 wordpress、SPIP),它是“安全”版本吗?

关于信任度量有一些有趣的研究:攻击抗性信任度量信任度量分析模型如何将撤销状态信息合并到公钥认证的信任度量中

基本概念是建立一组从您到目标的链接。不幸的是,网站不体现信任。人是适当的信任发起者。这是一个在现代时代很容易丢失的概念,在这个时代,技术被描绘成无菌的并且与它的创造者和制造商脱节。

然而,至少据我所知,所有网站都是由人创建的。一些网站的问题是内容创建者并不总是被识别。不保证链接。

当我试图获得对一段数据的信心时,我应用的一个原则是来源的多样性。如果我正在寻求对工具的评估,我会尝试从专家、业余爱好者和出版物中获得意见。

例如,如果我有兴趣购买新相机,我会查看用户论坛、专业博客和涵盖摄影的杂志。当然,每个组都可能给出错误或误导性的意见,但至少有两个错误或误导的可能性小于任何一个组错误或误导的可能性。

请注意,这并不能保证我有好的结果。它只会让您更确信评估是正确的。

其次,我将更多的资源用于收集对高价值数据的评估。并非所有问题都值得彻底审查。关于哪些网络漫画会让你发笑的意见不需要更多的检查,因为你可以轻松地证实这一说法。同样,购买 20 美元以下的商品很少需要太多,除非它们可能对我的健康或安全产生影响。即普通止痛药和服用普通品牌一样安全吗?或者我应该从供应商 A 还是供应商 B 购买 USB 闪存驱动器?

我信任许多人信任的网站。如果有很多受害者,攻击的后果就会更加减轻。在商业环境中,这转化为以下内容:只要我的大多数(或所有)竞争对手受到类似的攻击,被攻击就不是问题(对我来说!)。在某种程度上,当竞争对手受到攻击时没有受到攻击,可能是战术上的失败并引起怀疑。

这是一个普遍的趋势。这提倡在服务器上使用 Windows,而不是 NetBSD:Windows 固有的任何安全漏洞都将出现在数百万其他服务器上,这严重削弱了任何潜在的责任。同样,您应该在浏览器中保留标准的根证书集,因为“这就是每个人都在做的事情”:如果流氓 CA 允许大规模欺诈,那么受害者就会太多,银行将被迫采取合理、和蔼可亲的方式姿态。

在狼和羊的世界里,羊群的救赎在于大量:坚持羊群。如果你负担不起,就不要试图成为一只狼。

这个问题不太对:信任不是二元的。我想你真的很想知道“我怎样才能决定对特定网站的信任程度?

最后,我认为这取决于我必须信任每个特定站点的程度。

我最信任的网站(银行、经纪公司等)与我有实体线下关系。运营这些网站的公司拥有显着的线下声誉和影响力;他们通过蜗牛邮件在枯树上与我通信,并且他们有一个电话号码,您可以在其中与人交谈。这有点超出了问题的范围,因为您已经说过您拥有的唯一信息来自网络本身,但即便如此,您也可以通过多种途径验证实际存在。(谷歌、WHOIS、维基百科、在线评论——例如银行比较网站等)此外,如果我必须“完全”信任一个网站——获取财务信息或其他敏感数据——那么我不太可能这样做,除非我可以有理由信任他们,这是由值得信赖的重要离线存在支持的。

我最不信任的网站是那些我不必信任的网站。JimBob's Game Zone & Happy Fun Time,例如:嗯,你说你有这个非常有趣的游戏,我必须启用java才能玩?对不起,但不,谢谢。(即使对于一些声誉更高的网站也是如此,这些网站仍然拥有我想使用的基于 java 的金融计算器。我可以找到一个不会让我暴露于巨大攻击面的替代方案。)

在这两者之间,您必须稍微信任一些网站,但不能完全信任。换句话说,您可能需要让自己面临一些风险。例如,H&R Block 有一个计算器,可以估算我去年欠了多少税。我必须启用脚本和 Flash 才能让他们的计算器工作,而且我必须输入个人数据(例如收入、家庭状况)——而且它必须准确(尽管不是完全准确)才能让我得到答案想。我不需要提供任何身份证明,所以除了接触脚本和一些有限的数据之外,这是可以接受的风险;我可以通过代理访问以向我的 ISP 隐藏我的数据并从站点隐藏我的位置。

其他网站想要从您那里收集大量数据,他们想要识别您的个人身份等,并且他们会为您提供服务作为回报。例如,Facebook 或 Google;在较小程度上,堆栈交换。一方面,我选择主动不信任无所不在的网站:这需要付出努力,因为您必须通过 NoScript 或其他浏览器插件阻止多个域,以防止公司在网络上跟踪您。我选择不使用 Facebook。我使用多种 Google 产品,但在这里我选择用我的数据为他们的服务付费;当我不使用他们的产品时,我仍然会阻止他们的跟踪域。

链接问题中的问题是是否信任从特定网站下载的 Ubuntu ISO 映像。根据我上面写的,我认为答案是你不必太相信它,所以你不应该。(“信任,但要验证。”)从任何信誉良好的地方下载图像,以免浪费您的时间和带宽。我可能会拉洪流:您不必信任任何单个站点。然后通过多个渠道验证哈希:检查 Canonical 的网站,检查其他网站,使用多个代理检查这些网站(这样你不太可能成为 MITM),在 IRC 上询问,给朋友打电话等。

其它你可能感兴趣的问题
上一篇如果用户代理被空白/更改,网站能否确定访问者正在使用什么操作系统或网络浏览器? 下一篇Stuxnet 是用什么编程语言编写的?