3731Fermer3733
UtherLe 07/08/2019 à 13:58
Zerosquare (./3730) :
Tout ça est peine perdue. Tu peux mettre la meilleure UI du monde, les utilisateurs qui ne veulent pas faire attention ne feront pas attention. Ça fait des décennies que tous les admins système essaient de résoudre ce problème, et ils n'y sont pas arrivés, parce que ce n'est pas un problème technique mais humain.
Sauf que justement l'idée, c'est que plutôt qu'avoir une approche d'admin système, il faudrait une approche de professionnel de l'Expérience Utilisateur (UX).

C'est quand même plus facile de faire attention aux indices utiles quand ils sont présentées de manière claire et non ambiguë. Pour beaucoup de gens, une URL c'est du chinois. Rien de tel pour les dissuader de faire le moindre effort d'identification du risque. La présentation que je propose à le mérite de mettre facilement en avant les deux principales informations importantes à vérifier pour un monsieur lambda qui n'est pas sûr de la page où il se trouve. Si malgré ça il décide de les ignorer, tant pis, mais au moins l'info était clairement identifiable.

Godzil (./3731) :
Le chiffrement et le fishing n’ont aucun rapport. Tu peux avoir un site parlement legit qui a été hacké, et sert des pages de fishing tout en ayant un certificat 100% valide et 100% prouvant que le domaine est bien celui qu’il dit être. Https n’est pas fait pour l’identification d’un site web, c’est fait pour le chiffrement des échanges.
En effet chiffrement et phising sont techniquement deux choses différentes, et le kacking de site web en est une troisième tout aussi différente.

Pour le phising, le point essentiel c'est de pouvoir identifier clairement nom du domaine ou l'on est connecté (ce qui n'a en effet rien a voir avec le chiffrage). Le fait d'afficher le domaine à part de manière vraiment visible, plutôt que noyé dans le bordel de l'URL, aide à s'en prévenir.

Là ou ma proposition recoupe légèrement la problématique du chiffrement, c'est que les certificat OV et EV fournissent des informations légales sur le possesseur du certificat ce qui est un élément de vérification supplémentaire contre le phising.

Pour le hacking, en effet, rien ne pourra jamais prouver que le site auquel tu te connectes ne s'est pas fait pirater. Je pense qu'aucune solution basée sur le chiffrement n'est viable contre ça, du moins pour un site dynamique. Mais c'est un problème qui ne concerne pas directement l'utilisateur : c'est le site web qui est responsable de sa propre sécurisation. Si un site comme Amazon a été compromis et te sert de fausses pages, c'est eux les responsables et tu peux te retourner contre eux. Alors que si tu te connectes à un site qui n'est pas Amazon, c'est toi le responsable.