Mozilla menghapus fitur ftp dari Firefox 90 – Komputer – Berita

Hmmm … mereka cuma ngomong banyak. Sertifikasi DV tidak mengatakan apa-apa.

Tapi itu tidak membantu pengguna rata-rata menjadi lebih aman. Dari Pernyataan Van Crum:

Melalui penelitian kami sendiri serta survei pekerjaan akademis sebelumnya, tim Keamanan Chrome UX menentukan bahwa antarmuka pengguna EV tidak melindungi pengguna sebagaimana dimaksud (lihat bacaan lebih lanjut di bawah). Pengguna tampaknya tidak membuat pilihan yang aman (seperti tidak memasukkan kata sandi atau informasi kartu kredit) saat mengubah atau menghapus UI, karena EV UI diperlukan untuk memberikan perlindungan yang berarti.

(Lihat pernyataan untuk sumber yang lebih komprehensif)

Firefox menggunakan dasar yang sama untuk keputusan mereka.

Dan biarlah saya bias, tapi saya percaya peneliti pembuat browser terbesar lebih dari beberapa pelatih acak dengan beberapa “bukti” anekdot tentang topik tersebut.

Jika kau pergi https: // mydomain.tld Dan dengan sertifikasi LE, Anda tidak tahu apakah Anda berbicara dengan domain atau sistem saya, tempat Anda dikirim melalui serangan.

Ide mendapatkan sertifikat DV hanya untuk Anda kami akan Ketahuilah dengan pasti bahwa Anda berbicara dengan mydomain.tld.

Dan meskipun sertifikat DV diterbitkan secara tidak benar secara teratur, ini lebih sulit dengan sertifikat EV. Penyerang harus membobol otoritas sertifikasi, atau mereka harus berhasil mendapatkan sertifikat akar tepercaya di komputer Anda. Tetapi jika mereka melakukannya, Anda akan mengalami masalah yang lebih besar.

Anda melebih-lebihkan betapa sulitnya mendapatkan sertifikasi EV. Di tahun 2017 Seorang peneliti menunjukkan betapa mudahnya mendapatkan sertifikasi EV (Lebih lanjut tentang bagaimana dia menanganinya Di blognya).

Sangat lezat Cerita ini dari tahun 2017, Jika seseorang memiliki sertifikasi EV untuk “Stripe, Inc.” (Penyedia Layanan Pembayaran!), Dengan hanya mendirikan perusahaan dengan nama yang sama, tetapi di negara bagian AS yang berbeda dari aslinya.

Investigasi ini Ini juga merupakan bahan bacaan yang menarik. Dari situs phishing yang mereka selidiki, 0,4% memiliki sertifikat EV yang valid. Kedengarannya tidak banyak, tetapi jika EVnya bagus, seharusnya 0%. Saya merasa sangat terkejut bahwa begitu banyak situs phishing (39 dalam penelitian itu) yang memiliki sertifikasi EV! Terutama karena saya menduga ini terutama akan digunakan untuk tujuan yang paling menguntungkan.

Tidak, ini tidak ideal, tetapi jika pelecehan ditangani seperti yang Anda gambarkan, ada panduan lengkap tentang siapa yang bertanggung jawab untuk itu. Jangan memulai perusahaan hanya untuk mendapatkan gelar dalam nama.

Sumber saya di atas menunjukkan bahwa ini jauh lebih mudah daripada yang Anda pikirkan. Dari blog cerita pertama:

… untuk mendirikan perusahaan di Inggris, Anda harus memiliki alamat yang dapat diverifikasi dan ID yang valid. Jadi apa yang dilakukan penyerang? Nah, mereka dapat membeli ID curian yang valid seharga beberapa pound dari apa yang disebut “web gelap” dan menggunakan alamat layanan sebagai alamat perusahaan dan rumah direktur. Alamat layanan ini dapat dibeli secara online tanpa biaya.

[…]

Sekarang akhirnya, saya mulai mencari perusahaan untuk memasukkan perusahaan baru ini atas nama saya dan setelah satu jam mencari di Google, saya menemukan perusahaan yang tepat. Saya tidak akan menyebutkan nama perusahaan di sini untuk tujuan hukum, tetapi menurut saya prosesnya sangat mudah; Tidak ada verifikasi identitas yang sepengetahuan saya dan biayanya kurang dari £ 40. Butuh waktu sehari setelah perusahaan itu didirikan oleh Companies House.

Testimoni EV tidak sakral, sementara banyak orang mengira begitu. Dikombinasikan dengan fakta bahwa orang tidak terlalu memperhatikan bilah URL hijau (dan yang terpenting: tidak ada), dan nama perusahaan yang membingungkan sering ditampilkan, saya menyadari bahwa nilai tambah bilah URL hijau tidak benar-benar ada ( lagi)).