Trybun <MLSCh@jachu.cb> napisał(a):
A w ogóle możliwe jest istnienie dwu identycznych stron w necie?
Co rozumiesz przez "dwu identycznych"? Jeśli chodzi o kod HTML, obrazki itp,
to oczywiście mogą być dwie identyczne, albo i milion identycznych. Nic
przecież nie uniemożliwia ściągnięcia sobie czyjejś strony i wrzucenie jej
na swój serwer. Tak samo jak możesz mieć dwa foldery z takimi samymi
plikami, tak samo mogą być dwie takie same strony. Oczywiście będą miały
inne adresy, ale będą identyczne.
Z tego co słyszę banki i wszyscy inni zalecają korzystanie tylko z
"bezpiecznych" stron - https, i taka właśnie jest strona podawana w
odnośniku.
Oczywiście nie logowałem się na konto z niej,. ale wygląda ona identycznie
z oryginałem.
Tak, zaleca się korzystanie z HTTPS. Z resztą obecnie praktycznie wszystkie
strony są już dostępne po HTTPS. W każdym razie to nie jest jakieś magiczne
zabezpieczenie przed podszywaniem.
Nieautoryzowana wobec certyfikatu,. Nie znam się, ale wydaje mi się że
jakieś zabezpieczenia przed czymś takim muszą być. Przeglądarka, antywirus
i tym podobne programy powinny to wykryć.
Tak, ale w jaki sposób nieautoryzowana? Diabeł tkwi w szczegółach.
Podstawowy certyfikat, taki jaki jest np. na mojej stronie, potwierdza
zgodność domeny. I tylko tyle! Czyli wchodzisz na stronę grzegorz.net i tam
widzisz certyfikat wystawiony na grzegorz.net. Jeśli wejdziesz na
przykładową stronę ziemniak.com i ona przedstawi się certyfikatem dla
grzegorz.net, to przeglądarka zgłosi błąd. To jest zabezpieczenie przed
podstawienie Ci innej strony od tej, którą wpisałeś. Np. w ten sposób, że
ktoś przestawi Ci DNS-y albo wstawi gdzieś po drodze jakieś proxy, które
będzie coś podmieniało. Natomiast jeśli ja np. skopiuję sobie stronę Onetu i
wrzucę ją na swój serwer, to żaden problem nie zostanie wykryty. Wszedłeś na
grzegorz.net i widzisz certyfikat grzegorz.net, więc jest zgodność i
przeglądarka nic nie wykryje. I tak było na stronie, na którą wszedłeś. Była
sobie jakaś domenaoszustow.pl z certyfikatem na domenaoszustow.pl i wszystko
się zgadzało, przeglądarka nie protestowała. Dlatego warto pamiętać, że
obecność kłódeczki (prawie) nic nie znaczy.
Zawartość strony nie jest w żaden sposób weryfikowana. Jak w ogóle miałoby
się to odbywać?
Oprócz weryfikacji domeny może być też weryfikacja właściciela. Na mojej
stronie tego nie ma, ale jak wejdziesz na Onet, to zobaczysz, że certyfikat
potwierdza, że za stronę odpowiada Ringier Axel Springer Polska Sp z o.o. I
to jest realne zabezpieczenie. Na stronie oszustów na pewno nie będzie
certyfikatu wystawionego na Axel Springer. Niestety problem jest taki, że
nie da się tego sprawdzić automatycznie (nie jest to możliwe), musisz to
zrobić ręcznie.
--
Grzegorz Niemirowski
https://www.grzegorz.net/
|