如何检查重定向站点(如OAuth )是否是真实的？

Question

一个常见的安全建议是只从书签打开站点(也请参阅向不懂技术的人解释如何检查您与mybank.com的连接是否安全？ )。如果站点需要来自需要登录的另一个站点的验证令牌，则此方法将失败。(站点A将用户重定向到站点B，并以授权请求为参数。用户登录/授权站点B处的请求。用户将被重定向到站点A，并使用验证令牌作为参数。)如果站点A将用户重定向到与站点B类似的钓鱼站点C并收集用户凭据，则会出现问题。

当然，理论上用户可以检查这是否是站点B，而不是C。但在实践中，存在许多问题：

• 每次检查每个字符都很烦人，几次之后就不会检查了。
• 有许多相似的字符(同形)
• 授权站点URL有时与主页不同，很难记住不同站点的所有URL(是my-bank.com / my-bаnk.com /а/ my-bank.org / my-bank-auth.com / auth.my-bank.com吗?)

那么，当您重定向到钓鱼网站时，有什么方便用户的方法来检查您是否没有在钓鱼网站上输入您的凭证呢？

Answer 1

即使使用外部提供程序，就您所链接的问题提供的所有建议都已足以验证登录过程。你只需要在你被重定向到的每一页上重复这个过程。

如果您担心的是同型或错误占位符，那么您只需要更详细地检查证书。大多数web浏览器(至少桌面浏览器)都有一个功能，可以让您查看网站证书的所有相关细节，最重要的是包括发给它的组织和有关颁发证书颁发机构的信息。

如果证书对给定的服务器或域有效，颁发给您信任的组织，并由信誉良好的证书颁发机构颁发，则可以合理地确保您不会处理某种类型的欺骗服务器。

当然，攻击者可以使用同型或错误下蹲使他们的服务器/域看起来像是有一个您的银行可能使用的名称。但是他们必须花很长的时间才能得到一个经过验证的证书，这个证书看起来实际上是从一个信誉良好的CA发给你的银行的。如果他们真的能走到那一步，那么在你的头上再多的验证也不可能发现任何问题。

想想看，几乎所有的检查，你可以手动做的网站或它的证书(至少，任何检查将是“用户友好”)已经完成了你的浏览器。因此，除非您的本地系统已经被破坏(在这一点上，实际上您是否在银行的站点上并不重要)，否则您不太可能通过进行任何额外的检查就可以找到攻击者的站点，而这些检查不会被浏览器标记为红色。

只需注意“锁”图标，确保每个页面上都没有警告标志(绿色“扩展验证”证书是理想的，但严格来说是可选的)，您应该没事。