Feed subscription » blog | » comments | » google+ | » mobi | » twitter

PayPal uvažuje o blokovaní niektorých prehliadačov

PayPal uvažuje o blokovaní niektorých prehliadačovSpoločnosť PayPal je najčastejším terčom podvodníkov využívajúcich phishing. Tá sa proti nim bráni zubami-nechtami a prijíma neustále ďalšie a ďalšie opatrenia, ktoré majú znížiť úspešnosť zlodejov pri odcudzovaní finančných prostriedkov zákazníkov spoločnosti.

Tieto opatrenia sú však prijímané hodne kriticky práve zákazníkmi, ktorí sú zásadne obmedzovaní pri používaní vlastného účtu. Overovacie procesy a komunikácia so spoločnosťou býva často na dlhé lakte a neraz sú problémy vyriešené až o niekoľko týždňov od ich vzniku. Napriek tomu dopĺňa spoločnosť bezpečnostné opatrenia o ďalšie obmedzenia, ktoré majú za úlohu ochrániť zákazníkov pred prípadným zneužitím ich finančných prostriedkov, ktoré však veľmi závažným spôsobom obmedzujú hlavne zákazníkov.

Nový návrh bezpečnostných opatrení obsahuje aj niekoľko veľmi kontroverzných návrhov, ktoré by mohli priniesť zásadne zmeny na rôznych úrovniach (viac nižšie). Autormi správy “A Practical Approach to Managing Phishing” sú Michael Barrett, PayPal’s chief information security officer, a Dan Levy, the company’s senior director of risk management for Europe. V správe uvádzajú niekoľko zásadných postupov, ktoré by mali v budúcnosti prispieť k výraznému obmedzeniu profitu kriminálnych živlov z vykonávaných podvodov.

Autori rozdelili návrh na päť jednotlivých oblastí, ktoré by mali priniesť zvýšenie bezpečnosti.

  • Ochraňovať zákaznícku email schránku pred podvodnými emailami, ktoré sú najväčšou zraniteľnosťou celého systému
  • Aktívne bojovať za okamžite odstavenie phishingových stránok
  • Dodatočná užívateľská autentifikácia, ktorá jasne identifikuje skutočného majiteľa účtu
  • Postihovať kriminálnikov za ich pokusy, či úspešné podvody v plnom právnom rozsahu
  • Sústrediť sa na značku a na obnovu dôvery už postihnutých klientov

Originálny email z PayPal v Yahoo! MailAutori sa v správe najviac zameriavajú na ochranu emailu zákazníkov, pretože je to prakticky ich najzraniteľnejšie miesto, a na čo najrýchlejšie zablokovanie podvodných stránok slúžiacich k zberu citlivých informácií. Ako príklad úspešnej ochrany uvádzajú autori dohodu uzavretú so spoločnosťou Yahoo!, s ktorou zaviedli spoločný systém elektronického podpisovania za pomoci metódy Dkim. Dkim, alebo DomainKeys Identified Mail, je metóda elektronického overovania pravosti emailovej správy, čiže sa pri nej overí, či email skutočne pochádza od zdroja, ktorý je uvedený ako odosielateľ. Táto metóda odstraňuje jeden z nedostatkov technológie pre zasielanie emailov. Každý podpísaný email pochádzajúci od spoločnosti PayPal ja jasne označovaný v schránke Yahoo! mail, vďaka čomu je prakticky nemožné, respektíve takmer nemožné poslať tzv. scam letter (podvodný dopis).

Najkontroverznejší je však návrh autorov začať postupne blokovať “nedostatočne zabezpečené” prehliadače, ktoré neobsahujú anti-phishing (proti phishingovú) ochranu. Anti-phishingová ochrana spočíva v upozorňovaní užívateľov na potencionálne nebezpečnú stránku vytvorenú za účelom odcudzenia ich citlivých informácií. Táto ochrana má dve časti. Prvou je server, na ktorý užívatelia, no najčastejšie odborníci, vkladajú objavené podvodné stránky. Druhá časť ochrany je práve implementovaná v užívateľských prehliadačoch, ktoré pri pokuse navštíviť podvodnú stránku vypíšu upozornenie.

Firefox 3 EV SSL ValidáciaPayPal sa taktiež aktívne zaujíma o relatívne novú verziu certifikátov EV SSL, ktoré sú momentálne implementované len v prehliadačoch Internet Explorer 7 a Firefox 3. Technológia EV SSL certifikátov zabezpečuje zvýraznenie adresy webu v url bare (políčko pre zadávanie url) zelenou farbou v prípade, ak je Internet Explorer 7 EV SSL Validáciastránka certifikovaná. Táto vizuálna “pomôcka” má napomôcť užívateľom jasne diverzifikovať podvodné stránky od tých pravých. Je to určitá náhrada za dlhé roky existujúce vizuálne odlíšenie zabezpečenej stránky malým zámkom na spodnej lište prehliadača, ktorá však nemá dostatočný účinok v prevencii a zároveň je ľahko “simulovateľná” útočníkom.

Práve tieto “doplňujúce” ochrany nateraz vyraďujú niekoľko známych prehliadačov ako Opera a Safari od Apple, ktoré jednu, alebo obe technológie nepodporujú. Autori správy navrhujú v počiatkoch oznamovať zákazníkom, že používajú nevyhovujúci prehliadač a postupom času začať tieto prehliadače jednoducho blokovať. Toto opatrenie sa týka samozrejme aj starších verzií jednotlivých prehliadačov, ktoré spomenuté technológie nemajú implementované, a samozrejme prehliadačov, ktoré sú implementované v mobilných, či iných zariadeniach a úplne postrádajú potrebné technológie.

Nech už bude postup spoločnosti PayPal akýkoľvek, ak sa nakoniec rozhodne implementovať všetky zmienené postupy a technológie, pravdepodobne donúti tvorcov prehliadačov k zásadným rozhodnutiam, čím by mohla prispieť k ďalšiemu rozdeleniu trhu prehliadačov. Už existujúci zákazníci budú totižto hľadať nútenú alternatívu a ak sa napríklad vývojári Opery, či Safari nerozhodnú technológie doplniť, pravdepodobne prídu o značnú časť používateľov ich prehliadačov.

Zaujal vás článok? Sledujte ma na Twitteri.


3 Responses to “PayPal uvažuje o blokovaní niektorých prehliadačov”


  1. 1 Midnite Apr 20th, 2008 at 21:51

    EV SSL bude podporované v Opere 9.5 – už je dokonca implementovaná v nových buildoch beta verzie..

  2. 2 Bozz Apr 23rd, 2008 at 19:57

    ale aj v FF 3

  3. 3 oooo Apr 23rd, 2008 at 20:45

    no vsak ff je jasne, to uz vieme (je to tusim aj v clanku)

Zanechajte odkaz

  • na ďalšie komentáre odkazujte za použitia čísla komentáru v hranatej zátvorke, napríklad [3]
  • vaša IP adresa je logovaná a zneužívaná na výskumné účely
  • môžete mi tykať
  • komentáre sú moderované, kritiku prijímam, snažte sa prosím strániť invektív