it-swarm.dev

La barra di stato del browser Web è sempre affidabile?

Se porto il puntatore del mouse su un collegamento, ma non faccio clic su di esso, posso vedere nell'angolo in basso a sinistra che mostra l'URL di esso.

D: Questo URL (a sinistra/in basso) potrebbe essere diverso da quello su cui andrà il mio browser? (Non contare che il lato server può essere reindirizzato con un esempio: HTTP 302)

La domanda è solo per sapere che dire agli utenti di controllare la parte sinistra/inferiore del browser prima di fare clic sul collegamento è una cosa buona/utilizzabile per quanto riguarda la sicurezza.

Fornisci anche link/descrizioni autentici :)

PS: forse se JavaScript è abilitato, è possibile che l'utente acceda a un altro sito Web, diverso da quello visualizzato a sinistra/in basso?

enter image description here

AGGIORNAMENTO: La disabilitazione di JavaScript con es .: NoScript risolve questo problema al 100%? (ha aperto una generosità per questa parte della domanda) - perché sembra che potrebbe essere evitato con NoScript.

56
newuser999

Questo URL (a sinistra/in basso) potrebbe essere diverso da quello in cui andrà il mio browser?

Sì.

  • per un semplice clic sul link, l'intero clic potrebbe essere acquisito da JavaScript e creato per fare qualcos'altro, inclusa la navigazione in un'altra pagina

  • il link potrebbe essere sostituito sumousedown (questo è un comportamento comune per alcuni script di tracciamento clic-link)

  • per browser come Chrome in cui il pop-up dell'indirizzo appare all'interno dell'area della pagina, quel pop-up potrebbe essere simulato con JavaScript e gli elementi della pagina. In generale puoi fidarti solo dell'interfaccia utente del browser che appare nella chrome, al di fuori del controllo della pagina.

Di conseguenza, il pop-up dell'indirizzo è una funzionalità utile ma non offre alcuna funzione di sicurezza.

60
bobince

Sì, l'URL a cui un link alla fine ti porterà può essere diverso da quello mostrato nella barra di stato.

Uno dei modi possibili per farlo è ascoltare l'evento mousedown DOM dell'elemento link e cambiare il link all'interno dell'evento.

Per osservare ciò puoi andare alla ricerca di Google, aprire la console per gli sviluppatori e fare clic su un link di risultato.

Quando passi il cursore sopra il link:

Hover over

Quando si tiene premuto il pulsante del mouse, il collegamento viene modificato, ma la barra di stato non cambia in Chrome:

Mouse down

Quando sposti un po 'il mouse, la barra di stato in Chrome viene aggiornato:

Mouse move

(In realtà penso che qualcuno dovrebbe presentare una segnalazione di bug su http://crbug.com .)

24
Alvin Wong

No, non puoi fidarti.

L'esempio più prolifico di questo? Dai un'occhiata ai risultati di ricerca di Google, ad esempio. Passa il mouse su un risultato e otterrai un link nella barra di stato, fai clic con il pulsante destro del mouse e copia il link negli appunti e vedrai che ne hai uno completamente diverso.

Il modo in cui Google lo fa è super intelligente (e super semplice). Quando l'HTML ritorna, hai l'URL corretto nel href del link HTML, ma lo modificano non appena il tuo browser registra che il tuo browser rileva un evento "mouse down" sul link

19
BenLanc

La domanda è solo per sapere che dire agli utenti di controllare la parte sinistra/inferiore del browser prima di fare clic sul collegamento è una cosa buona/utilizzabile per quanto riguarda la sicurezza.

La mia risposta non tecnica (a differenza di altre risposte che si concentrano sulla potenza di JS e CSS):

Penso che questa idea del controllo non sia assolutamente realistica (al limite del folle) e in quanto tale nefasto per la sicurezza informatica realistica del mondo reale.

  • Anche se disabiliti la modifica della barra di stato in JS (perché un sito Web dovrebbe comunque modificare la barra di stato?),
  • anche se disabiliti JS (che interrompe molte funzionalità di Nice Web) in modo che la destinazione di un collegamento non possa essere modificata con JS come mostrato in altre risposte,
  • anche se si arriva a disabilitare i reindirizzamenti HTTP automatici (che sarebbe molto fastidioso su alcuni siti Web) ...

l'idea di controllare attentamente l'obiettivo di ogni singolo collegamento è un perfetto esempio di pensiero "sicurezza come nemico dell'usabilità": non è solo poco pratico, è così poco pratico che gli utenti non applicherebbero mai questo principio più di qualche minuto, potrebbero persino essere portati a credere che la gestione sicura di un computer sia troppo difficile e non ne valga la pena .

Quando stai dando consigli sulla sicurezza, non stai semplicemente dichiarando una raccomandazione appropriata in un particolare contesto, stai inviando un messaggio sulla sicurezza del computer in generale: la sicurezza è facile, la sicurezza non è facile ma raggiungibile, o la sicurezza è semplicemente troppo difficile.

Se dai un consiglio che è chiaramente troppo difficile da applicare seriamente ogni singola volta, ogni singolo giorno , stai dando l'impressione che la sicurezza del computer riguardi seguendo perfettamente terribilmente requisiti rigorosi, qualcosa che i semplici mortali non possono davvero fare.

Se chiedi troppo , le persone semplicemente rinunciano. E gli "esperti di sicurezza" sprecano la loro credibilità.

Questo è il motivo per cui le raccomandazioni di sicurezza non possono essere date solo da "semi esperti" della sicurezza che offrono la loro "scienza" ai semplici mortali; le raccomandazioni di sicurezza devono essere testate nel mondo reale; l'attuazione delle raccomandazioni deve essere osservata, misurata. Quando l'esperienza mostra che la raccomandazione non è seguita, deve essere cambiata per diventare utile nel mondo reale.

dicendo agli utenti di controllare la parte sinistra/inferiore del browser

Un altro problema è, anche se potresti trovare alcuni utenti disposti a "controllare" l'obiettivo di ogni singolo collegamento, questi utenti non saprebbero nemmeno come fare il "controllo", perché quasi non hanno mai idea di dove sia un collegamento - dovrebbe indicare.

La raccomandazione non è solo troppo difficile da praticare ogni giorno, è confusa.

11
curiousguy

Un tempo eri in grado di farlo impostando window.status proprietà utilizzando Javascript. Vedi questo link per maggiori informazioni. (Perdonami se mi collego a w3schools, è uno dei migliori collegamenti che posso trovare per questa particolare ricerca ...)

Tuttavia, la maggior parte dei browser moderni ha disabilitato questa funzione proprio per motivi di sicurezza. Su Chrome almeno, non penso che ci sia un modo per riattivarlo.

6
user10211

Oltre a tutte le risposte qui, i browser mobili non possono essere considerati affidabili. Questo perché la maggior parte dei browser nasconde la barra degli URL.

Inoltre le app avvolgeranno il browser Web (legittimamente) per creare iphone e Android. (Vedi PhoneGap e molti altri che fanno la stessa cosa)

Se utilizzi un browser mobile, stai affidando tutta la tua sicurezza allo sviluppatore dell'app o rinunciando alla visibilità sulla barra del browser. Questo è un problema che deve essere risolto.

Soluzione parziale

Al momento, tutti i dispositivi utilizzano un proxy HTTP/S, su una VPN e ogni sito Web è controllato per contenuti dannosi ed è relativamente sconosciuto o oscuro (come la maggior parte dei siti compromessi).

Inoltre eseguiamo la convalida del certificato SSL e controlli DNS estesi.

2

Prima di tutto bella domanda!

Se stai chiedendo se il browser ci porta all'URL mostrato di seguito nella barra di stato, allora è sì, trovo sempre che ci si possa fidare, a meno che non ci sia un lato server o un risolutore di indirizzi javascript.

Se punti del testo di ancoraggio che ha l'URL abbreviato, il browser visualizzerà l'URL abbreviato poiché questo è l'unico URL incorporato nell'HTML della Pagina.

Può essere che il server ne utilizzi molti tra un URL e l'altro per il monitoraggio del comportamento come fa Google, il browser mostra ancora l'URL finale su cui atterrare.

Chrome Showing final URL in Status bar

possiamo vedere l'URL intermedio copiando il link e incollandolo nel browser, Google può utilizzare questo link per tenere traccia della posizione, utilizzare il comportamento ecc., ma il browser mostra l'URL corretto

A volte il browser stesso inizia a risolvere il browser mentre lo puntiamo su di esso, puoi vederlo nella barra di stato e arrivare all'URL finale che è consentito al browser.

Quindi penso di essere una macchina, il browser mostra l'URL corretto fino a quando uno script non è presente nell'URL.

1

Sì.

Poiché ci sono stati attacchi noti come i seguenti:

for(i in o=document.links){o[i].onclick=function(){this.href='//bit.ly/141nisR'}}

Come mostrato in: http://bilaw.al/2013/03/17/hacking-the-a-tag-in-100-characters.html

L'attacco di cui sopra consentirà all'attaccante di supporre che l'URL stia andando nella posizione corretta fino a quando non fa clic su di esso, il che quindi cambia l'attributo dell'href che li indirizza in una nuova posizione.

1
DarkMantis