<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 9, 2017 at 1:59 AM, Salz, Rich <span dir="ltr"><<a href="mailto:rsalz@akamai.com" target="_blank">rsalz@akamai.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
But I can register <a href="http://fidelity.biz" rel="noreferrer" target="_blank">fidelity.biz</a>, and get a domain-validated certificate for that domain.  How will your system prevent Joe from being phished to try to login, give their name and password to my site, when they really should have gone to <a href="http://fidelity.com" rel="noreferrer" target="_blank">fidelity.com</a>?<br>
<div class="HOEnZb"><div class="h5">__</div></div></blockquote><div><br></div><div>If I was implementing this, I'd probably tie the image to something in the site's certificate (whether that's a hash of the pub key or whatever), so the first time you hit a https site you'd need to be prompted to set a memorable image. So even if I've set for <a href="http://fidelity.com">fidelity.com</a> I'd get a prompt when I hit <a href="http://fidelity.biz">fidelity.biz</a></div><div><br></div><div>The problem with that, of course, is when people switch browsers, the image isn't going to be there, and (combined with possible bugs causing you to have to re-set it) people are going to get complacent and just reset the image when they hit <a href="http://fidelity.biz">fidelity.biz</a>, defeating the point.</div><div><br></div><div>And that's before the faff of having to set something (or opt not to) every time you go to a https site you've never visited before. You could avoid that by having something in the cert to specify whether that auth mechanism is required (to avoid the prompt on sites that don't require it), but then <a href="http://fidelity.biz">fidelity.biz</a> would just omit it from their cert and we'd be back to relying on the user noticing that something's missing.</div><div><br></div><div>I've only skimmed the paper, but to be honest, I think you'd almost get equal benefit (and setup annoyance) from having the browser inject a big red "WARNING: YOU'VE NEVER VISITED THIS SITE BEFORE" when you visit a new https site for the first time. That at least has the advantage of having something the user can see, rather than the absence of something they usually see.</div><div><br></div><div><br></div><div><br></div></div><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">Ben Tasker<br><a href="https://www.bentasker.co.uk" target="_blank">https://www.bentasker.co.uk</a><br><br></div></div></div></div></div></div>
</div></div>