c*****e
发帖数: 3226 | 1 理论上, suppose user is access site x, then it redirects user to facebook
connect to login and get authorization so the site x can retrieve the user'
s interests
.
如果 有人 在 site x 或者假的 site x 上面放一个 fake 的 fackbook connect
buton, which then can follect the user's password. 就像有些钓鱼的银行网站一
样。 |
j********x
发帖数: 2330 | 2 你不想想site x不经过fb的认证,fb凭什么给他开放oauth的权限。。。
你好蠢啊。。。 |
c*****e
发帖数: 3226 | 3 你没看懂别乱喷。
【在 j********x 的大作中提到】
: 你不想想site x不经过fb的认证,fb凭什么给他开放oauth的权限。。。
: 你好蠢啊。。。
|
g*****g
发帖数: 34805 | 4 这么钓鱼很难成功的,如果site X是个可靠的网站,就不会让人钓鱼。如果site X是个
野鸡网站,用户对这个要求本身就会存疑。接下来假定用户被骗了,redirect 到假
facebook, url不一样,和facebook站名很相近的ssl certficate是不会发给你的。所
以你要弄一个看起来像facebook的网站做https authentication,非常难。而常用来盗
用密码的网站早早就被浏览器封了。
相比之下假定盗取了一个邮件密码,发信给你的联系人,让用邮件账户和密码登录,防
备心要小的多,容易成功。
user'
【在 c*****e 的大作中提到】
: 理论上, suppose user is access site x, then it redirects user to facebook
: connect to login and get authorization so the site x can retrieve the user'
: s interests
: .
: 如果 有人 在 site x 或者假的 site x 上面放一个 fake 的 fackbook connect
: buton, which then can follect the user's password. 就像有些钓鱼的银行网站一
: 样。
|
c*****e
发帖数: 3226 | 5 假如 site x 是用户论坛,很容易贴一个假的 facebook connect button, 然后跳转到
假的 fackbook 授权网站页面。
我觉得oauth 钓鱼更容易欺骗是基于这些理由:
1: 本来 oauth 就是跳转, 所以表象很类似
2: 模仿假的 facebook 授权页面更加简单,因为一般授权页面本来就没什么内容
3: JavaScript 可以重写 url address
说实在的,每次看到那些 oauth 跳转的页面,我都胆颤心惊。
【在 g*****g 的大作中提到】
: 这么钓鱼很难成功的,如果site X是个可靠的网站,就不会让人钓鱼。如果site X是个
: 野鸡网站,用户对这个要求本身就会存疑。接下来假定用户被骗了,redirect 到假
: facebook, url不一样,和facebook站名很相近的ssl certficate是不会发给你的。所
: 以你要弄一个看起来像facebook的网站做https authentication,非常难。而常用来盗
: 用密码的网站早早就被浏览器封了。
: 相比之下假定盗取了一个邮件密码,发信给你的联系人,让用邮件账户和密码登录,防
: 备心要小的多,容易成功。
:
: user'
|
g*****g
发帖数: 34805 | 6 嘿嘿,facebook的登录界面url不是facebook,还折腾个啥。你说的简单一点都不简单
。另
外,有这种不靠谱的用户论坛网站,我为什么要登录,别说登录,把我骗过去都不容易
。人一般都是有很大兴趣参与讨论才会去登录一个网站。你要模仿一个facebook登录页
面容易,要弄一堆不同id讨论我还感兴趣可难了。
【在 c*****e 的大作中提到】
: 假如 site x 是用户论坛,很容易贴一个假的 facebook connect button, 然后跳转到
: 假的 fackbook 授权网站页面。
: 我觉得oauth 钓鱼更容易欺骗是基于这些理由:
: 1: 本来 oauth 就是跳转, 所以表象很类似
: 2: 模仿假的 facebook 授权页面更加简单,因为一般授权页面本来就没什么内容
: 3: JavaScript 可以重写 url address
: 说实在的,每次看到那些 oauth 跳转的页面,我都胆颤心惊。
|
e***y
发帖数: 1152 | 7 我也感觉楼主的担心有道理。参加这个帖子讨论的人,大至了解登录过程、原理等等,
骗到他们不容易。楼主担心的是没有这些相关知识的用户。例如我几乎可以肯定我家ld
从来没有留意过网站还有https这么回事。
【在 g*****g 的大作中提到】
: 嘿嘿,facebook的登录界面url不是facebook,还折腾个啥。你说的简单一点都不简单
: 。另
: 外,有这种不靠谱的用户论坛网站,我为什么要登录,别说登录,把我骗过去都不容易
: 。人一般都是有很大兴趣参与讨论才会去登录一个网站。你要模仿一个facebook登录页
: 面容易,要弄一堆不同id讨论我还感兴趣可难了。
|
X****r
发帖数: 3557 | 8 要骗没有基本知识的用户哪里需要用OAuth那么复杂,直接发封email说你的Facebook账
号有异常登录按此处重置密码就完了。
ld
【在 e***y 的大作中提到】
: 我也感觉楼主的担心有道理。参加这个帖子讨论的人,大至了解登录过程、原理等等,
: 骗到他们不容易。楼主担心的是没有这些相关知识的用户。例如我几乎可以肯定我家ld
: 从来没有留意过网站还有https这么回事。
|
S***s
发帖数: 104 | 9 You worry too much.
You're talking about browsers, think about yeji apps! much worse
Fact is most users don't care enough or unable to understand web security.
【在 c*****e 的大作中提到】
: 假如 site x 是用户论坛,很容易贴一个假的 facebook connect button, 然后跳转到
: 假的 fackbook 授权网站页面。
: 我觉得oauth 钓鱼更容易欺骗是基于这些理由:
: 1: 本来 oauth 就是跳转, 所以表象很类似
: 2: 模仿假的 facebook 授权页面更加简单,因为一般授权页面本来就没什么内容
: 3: JavaScript 可以重写 url address
: 说实在的,每次看到那些 oauth 跳转的页面,我都胆颤心惊。
|
c*****e
发帖数: 3226 | 10 把你骗过去不容易,不等于100% 不出差错。哪天一不小心也会发生的。不怕一万只怕
万一。
anyway, 我只是觉得 oauth 那种 跳转验证的机制很容易被伪装。
【在 g*****g 的大作中提到】
: 嘿嘿,facebook的登录界面url不是facebook,还折腾个啥。你说的简单一点都不简单
: 。另
: 外,有这种不靠谱的用户论坛网站,我为什么要登录,别说登录,把我骗过去都不容易
: 。人一般都是有很大兴趣参与讨论才会去登录一个网站。你要模仿一个facebook登录页
: 面容易,要弄一堆不同id讨论我还感兴趣可难了。
|
|
|
g*****g
发帖数: 34805 | 11 没有100%不出差错的,这就是为啥现在主流网站要做2 step authentication的原因。
【在 c*****e 的大作中提到】
: 把你骗过去不容易,不等于100% 不出差错。哪天一不小心也会发生的。不怕一万只怕
: 万一。
: anyway, 我只是觉得 oauth 那种 跳转验证的机制很容易被伪装。
|
e***y
发帖数: 1152 | 12
那么对于那些用户介于0和100之间的呢?假设总一个频段落在楼主的担心范围,则楼主
的担心有道理?
【在 X****r 的大作中提到】
: 要骗没有基本知识的用户哪里需要用OAuth那么复杂,直接发封email说你的Facebook账
: 号有异常登录按此处重置密码就完了。
:
: ld
|
g*****g
发帖数: 34805 | 13 没啥道理,每多一次点击,上当的就指数级下降。所以要骗我干嘛不直接发邮件,还要
再弄一个网站。
【在 e***y 的大作中提到】
:
: 那么对于那些用户介于0和100之间的呢?假设总一个频段落在楼主的担心范围,则楼主
: 的担心有道理?
|
c*********e
发帖数: 16335 | 14 看过用这个的网站,不过大部分还是用传统的用户登录,不记得密码了可以让对方给发
个信过去reset.
user'
【在 c*****e 的大作中提到】
: 理论上, suppose user is access site x, then it redirects user to facebook
: connect to login and get authorization so the site x can retrieve the user'
: s interests
: .
: 如果 有人 在 site x 或者假的 site x 上面放一个 fake 的 fackbook connect
: buton, which then can follect the user's password. 就像有些钓鱼的银行网站一
: 样。
|
r***y
发帖数: 4379 | 15 有过同样疑问.
所以, 那种用 fb, gmail ... 账号登录的, 俺从来不用. 多一事不如少一事.
搬个板凳, 看大神们讨论.
user'
【在 c*****e 的大作中提到】
: 理论上, suppose user is access site x, then it redirects user to facebook
: connect to login and get authorization so the site x can retrieve the user'
: s interests
: .
: 如果 有人 在 site x 或者假的 site x 上面放一个 fake 的 fackbook connect
: buton, which then can follect the user's password. 就像有些钓鱼的银行网站一
: 样。
|
