幹壞事是進步最大的原動力
Firefox 46 的開發版本將會對非 HTTPS 頁面加上警示:「Login Forms over HTTPS, Please」。
技術上來說,是當偵測到頁面上有 input type="password" 的元素時會加上不安全的 icon:
When a page with a password field is not delivered securely, Firefox displays a lock with a red strikethrough in the address bar[.]
不過看起來是在試水溫,沒有打算在正式版本開起來:
There are no current plans to show these warnings to users of Beta and general release Firefox.
這樣就有點可惜了...
蘋果打算在 iOS 9 與 OS X El Capitan 引入 2FA 登入機制:「Apple Adds Two Factor Authentication to OS X and iOS」。
在蘋果的「Two-Factor Authentication in iOS 9 and OS X El Capitan」有詳細說明。
等實際推出的時候再來看看用起來如何...
在「“Invalid Username or Password”: a useless security measure」這篇文章裡談到了使用者登入錯誤時的提示訊息。
通常為了安全考量,「沒有這個帳號」與「密碼錯誤」,我們會給出一樣的錯誤訊息,避免攻擊者可以猜測。像是 Amazon 的畫面:
這樣設計的前提是讓攻擊者不知道這個帳號是不是存在 (如果不存在的話就換其他帳號繼續攻擊)。但這個假設通常是錯的,因為大多數的系統一個 e-mail 綁定一個帳號,所以註冊時就可以分辨:
因此應該提供正確的訊息,而非將資訊隱蔽起來。
記得前陣子在 Twitter 上看到有人想要用 Twitter 認證使用者的消息,結果前幾天就看到 Facebook 提供官方版本:「Get Facebook Wi-Fi for Your Business」。
在「Set Up Facebook Wi-Fi for Your Business」有提到目前有這些產品可以支援:
不過,感覺好像有很多洞可以鑽... Facebook 用了大量的 Akamai 加速,除非在這些頁面特殊處理過 (把檔案都放到固定 IP 上),不然應該是不太容易做到?