Vlákno názorů k článku TabNabbing krade přihlašovací údaje nepozorným od anonym - Myslím si, že by se to dalo vyřešit...

Myslím si, že by se to dalo vyřešit nějakým „login managerem“. Jak psal v článku pan Malý, Roboform s odhalením velice pomůže. Mohlo by být zajímavé upravit správce hesel v prohlížeči tak, že pokud by detekoval přihlašovací formulář, v záhlaví by zobrazil tlačítko „Login to this page“ i když by neměl heslo ještě uložené (dělá to tak LassPass). Po kliku na tlačítko by se otevřel dialog, tam by uživatel jméno a heslo vyplnil a dialog by zajistil odeslání a přihlášení. Pak by login dialog mohl provádět analýzu:

• přihlašoval se uživatel na stránku s tímto Title? Pokud ano, změnilo se URL? Šup ven s červeným vykřičníkem
• pokud se uživatel na stránku s tímto Title nepřihlašoval žlutý vykřičníček a informací „Na tuto stránku se přihlašujete poprvé a nebo jste se možná stali cílem phishingu“

Pokud by se to uživatelé naučili používat, vyřešilo by to jak tento tabnabbing, tak i klasický phishing.

Nemusí to být nutně jenom přihlášení, útočník může simulovat i jiné části rozhraní webové aplikace. Další vykřičník, u kterého není hned jasné, co znamená, běžný uživatel nepochopí, bohatě stačí že musí tohle řešit u certifikátů. Prostě je potřeba řešit příčinu (stránka se může nepozorovaně změnit a vydávat se za jinou, navštívené URL se dají poznat podle barvy odkazu) a tyhle věci ošetřit.
Certifikáty má dobře vyřešené Chromium: když není cerifikát nainstalovaný, ukazuje se místo http se zeleným zámkem http červeně s červenou lebkou. Od uživatele se nedá čekat, že bude umět spolehlivě rozlišovat ze signalizace víc než zelený zámek – dobré, červená lebka – špatné. Dávat k tomu navíc vykřičník s dvěma možnými významy je pro člověka moc složitá úvaha.
Do banky se přihlašovat jedině na jejím webu (musí tam být zelený zámek) a nechodit tam přes odkazy odjinud. Pak nebude s phishingem problém.