安全体验问题

让用户安全,并且让用户感觉到安全,并且让用户知道外面很危险但是我们这儿很安全。好了,进入正题。

昨晚躺在床上拿ipad刷腾讯微博,看到一个测试三年后月薪的小游戏,就点过去看了看。微博app打开一个新的层,这个新的层展示了一个页面,让输入QQ帐号和密码。到这里,我就开始纠结了。因为在ipad上,是看不到这个页面的URL地址的——虽然它看起来非常像腾讯的oAuth认证页面,但是万一是钓鱼的怎么办?不但打开后的页面看不到地址,微博上发出的那个的URL也被缩短了看不到实际地址,被钓鱼的风险还是很高的。再退一步,即使腾讯在这里做了钓鱼防御,但是用户不知道,用户本能的感受到了威胁,没有被保护的感觉。

回到PC上,这里又没有太大问题,浏览器里面清楚的显示了页面的地址——当然,这也很挫,眼神儿总有不靠谱的时候。oAuth就不是个好东西!

随着移动客户端的兴起,安全不好做啊,很多PC上正常的东西换到这里就不成,最近我是颇多感受。

 

此条目发表在技术分类目录。将固定链接加入收藏夹。

安全体验问题》有 10 条评论

  1. 袁乘婿说:

    对于这个问题,如果是钓鱼网站,那么势必不会对QQ账号与密码的正误进行判断。所以在ipad上大可不必这么纠结。

  2. 云舒说:

    如同我们在微博上讨论的,钓鱼者会把密码记录下来,然后通过oAuth协议转发到真正的认证方。

    解决方案是对打开的URL做内容分析,判断钓鱼并告诉用户结果。同时,显示打开的URL地址让用户能够看到。诸如此类的措施。

  3. g0t3n说:

    要实现打开的url做内容分析并判断是否钓鱼,恐怕的像pc那样在ipad中装那些类似数字公司的软件来判断吧?然后在网页上方显示个绿色的图标提示类似 “该网页安全” 。 这样就让客户感觉到安全了。

  4. 凤凰说:

    我也认同云舒的观点,高级的钓鱼会做一个中继的工作。当然,一般的可以用错误账号和密码来验证

  5. 云舒说:

    webview是挺纠结的。

  6. spark说:

    钓鱼是什么?

  7. sid说:

    新浪试行单点登录就是用来解决这种问题的

  8. 云舒说:

    新浪微博ipad版本么?我回家试试。

  9. FRIdSUN说:

    Webview不显示url也没办法= = 一个折衷的办法是提示用户使用safari打开,那又显麻烦。

  10. 王俊说:

    这个游戏我刚开始还想玩下,后来因为看不到url直接放弃了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注