PayPal chce zablokować stare przeglądarki
W specjalnym dokumencie menedżerowie PayPala, Michael Barrett oraz Dan Levy, zapowiedzieli podjęcie środków mających na celu opanowanie problemu phishingu. Jednym z wymienianych przez nich środków jest zablokowanie starszych wersji przeglądarek.
Barret i Levy w sporządzonym przez siebie raporcie wyjaśniają, że chcą chronić użytkowników np. przez wysyłanie im wiadomości tylko za pomocą serwerów obsługujących mechanizmy DomainKeys i Sender Policy Framework (SPF). Dzięki temu możliwe będzie odfiltrowanie większości fałszywych wiadomości już na serwerach dostawców i powstrzymanie ich na drodze do skrzynki odbiorcy.
Ponadto PayPal ogłosił, że współpracuje z firmą Iconix nad stworzeniem wtyczki do klientów poczty elektronicznej, która mógłby sprawdzać sygnatury w e-mailach.
Wśród kolejnych planowanych środków bezpieczeństwa serwis wymienia certyfikaty EV SSL (Extended Validation Secure Sockets Layer). Przeglądarki Firefox 3 i Internet Explorer od wersji 7 poprawnie wyświetlają strony wyposażone w certyfikaty EV SSL, zmieniając w ich przypadku kolor paska adresu na zielono. Za kolejny problem eksperci od zabezpieczeń PayPala uznali autentykację. Dzięki wykradzionym danym logowania fałszerze mogą dostać się na konto użytkownika i działać w jego imieniu. Serwis chce to uniemożliwić za pomocą tokenów dostarczających jednorazowe hasła - takie urządzenia byłyby jednak podatne na ataki Man in the Middle.
Poza tym PayPal rozważa blokadę serwowania swoich stron dla przestarzałych i uważanych za niebezpieczne wersji przeglądarek. Do bezpiecznych przeglądarek zaliczono Firefoksa 3, Internet Explorera 7 i Operę od wersji 9.25. Safari nie zawiera żadnej ochrony antyphishingowej i dlatego też nie zostało uwzględnione na liście bezpiecznych przeglądarek. W przypadku nieaktualnych wersji tych przeglądarek oraz Safari strona będzie wyświetlała ostrzeżenie, natomiast przestarzałym przeglądarkom dostęp do witryny PayPala zostanie całkowicie zablokowany.
PayPal mógłby wykluczyć także inne przeglądarki internetowe. Podczas konferencji Usability, Psychology and Security Conference 2008 w San Francisco naukowcy z uniwersytetu w Kalifornii w wykładzie przedstawili potencjalne luki browserów w urządzeniach mobilnych i konsolach do gier, takich jak iPhone koncernu Apple czy też konsole Wii i DS firmy Nintendo. W tych przeglądarkach brakuje niektórych mechanizmów zabezpieczających, a ze względu na niewielkie rozmiary ekranu adresy URL nie są wyświetlane w pełni, co sprzyja atakom fałszerzy. Poza tym użytkownicy takich urządzeń chętniej otwierają odnośniki przesyłane w e-mailach, gdyż wpisywanie ich za pomocą wirtualnej klawiatury jest zbyt skomplikowane.
Jak podaje ZDnet, PayPal zdementował również pogłoski, jakoby przeglądarka Safari miała zostać całkowicie zablokowana. Serwis cytuje fragment e-maila od PayPala: "Nie mieliśmy absolutnie żadnego zamiaru blokować dostępu do strony aktualnie używanym przeglądarkom i dotyczy to także Safari".
