Frage:
Ist die Statusleiste des Webbrowsers immer vertrauenswürdig?
newuser999
2013-08-30 11:37:00 UTC
view on stackexchange narkive permalink

Wenn ich den Mauszeiger auf einen Link bringe, aber nicht darauf klicke, kann ich in der linken / unteren Ecke sehen, dass die URL des Links angezeigt wird.

F: Könnte sich diese URL (links / unten) von der URL meines Webbrowsers unterscheiden? (Zählen Sie nicht, dass die Serverseite mit einem z. B.: HTTP 302 umgeleitet werden kann.)

Die Frage ist nur darauf zurückzuführen, dass die Benutzer aufgefordert werden, vorher die linke / untere Seite des Browsers zu überprüfen Das Klicken auf den Link ist eine gute / brauchbare Sache in Bezug auf die Sicherheit.

Bitte geben Sie auch authentische Links / Beschreibungen an :)

PS: Wenn JavaScript aktiviert ist, kann der Benutzer möglicherweise zu einer anderen Website wechseln als der in links / unten?

enter image description here

UPDATE: Löst das Deaktivieren von JavaScript mit Beispiel: NoScript dieses Problem zu 100%? (eröffnete ein Kopfgeld für dieser Teil der Frage) - weil es so aussieht, als könnte es mit NoScript verhindert werden.

Beispiel: http://jsfiddle.net/qn4jF/embedded/result/
Du kannst ihnen nicht vertrauen. Im Laufe der Jahre gab es eine Million verschiedene Fälle, in denen Browser dazu verleitet wurden, etwas anderes zu tun, als der Benutzer erwartet hatte. Wenn Sie der von Ihnen besuchten Seite nicht absolut vertrauen können, schließen Sie einfach das Browserfenster. Fass nichts an. Das Bereitstellen von Links zu früheren Situationen ist nicht sehr nützlich, da regelmäßig neue Techniken erfunden werden. Im Ernst, vertraue ihm einfach nicht.
Sollte ich weitere Fragen zu folgenden Themen stellen: "Löst das Deaktivieren von JavaScript mit Beispiel: NoScript dieses Problem zu 100%?" oder Kann ich dieser Frage ein Kopfgeld geben?
Um den zweiten Teil Ihrer Frage zu beantworten, würde das Deaktivieren von JavaScript nach allen bisher veröffentlichten Antworten funktionieren. Aber es ist nicht gerade eine großartige Lösung, da Sie Javascript heutzutage vollständig deaktivieren und die meisten Websites beschädigen müssten.
Ich habe JavaScript deaktiviert und bin auf diese Website gegangen: http://jsfiddle.net/48KFV/2/show/ es hat immer noch funktioniert :) Das Deaktivieren von JavaScript kann also nicht helfen (verwendetes Firefox).
http://jsfiddle.net/48KFV/2/show funktioniert ohne Javascript. Die "Statusleiste" ist falsch und sieht für den Paranoiden falsch aus, aber ich stelle mir vor, dass die durchschnittliche Person, die nur ihre Arbeit erledigen möchte, den Unterschied möglicherweise nicht bemerkt.
Acht antworten:
#1
+60
bobince
2013-08-30 13:35:32 UTC
view on stackexchange narkive permalink

Könnte sich diese URL (links / unten) von der URL meines Webbrowsers unterscheiden?

Ja.

    • Für einen einfachen Link-Klick könnte der gesamte Klick von JavaScript erfasst und dazu gebracht werden, etwas anderes zu tun, einschließlich der Navigation zu Auf einer anderen Seite

    • könnte der Link beim Herunterfahren ersetzt werden (dies ist bei einigen Link-Klick-Tracking-Skripten üblich).

    • Bei Browsern wie Chrome, bei denen das Adress-Popup im Seitenbereich angezeigt wird, kann dieses Popup mit JavaScript und Seitenelementen gefälscht werden. Im Allgemeinen können Sie nur der Browser-Benutzeroberfläche vertrauen, die außerhalb der Seitensteuerung im Chrome-Rahmen angezeigt wird.

    Folglich ist das Adress-Popup eine praktische Funktion, bietet jedoch keine Sicherheitsfunktion .

Wenn wir also KEIN JavaScript haben, sollten wir sicher sein, aber nicht anders?
Nicht wirklich. Sie können ein Adress-Popup weiterhin nur mit `: hover` CSS fälschen.
@bobince: Können Sie ein Beispiel nennen?
@MarcksThomas dies sollte den Punkt beweisen (Test in Chrome): http://jsfiddle.net/48KFV/show/ Ich habe mich einfach nicht um das richtige CSS und den richtigen Übergang gekümmert: D.
@Esailija und Bobince. Obwohl es ein schönes Beispiel ist, benötigen Sie dennoch JavaScript, um das neue Fenster zu öffnen und zur neuen bösen URL "umzuleiten". Darüber hinaus hat die ursprüngliche Statusleiste des Browsers die höchste Ordnungspriorität und liegt immer über der mit CSS et al. Erstellten, sodass die Verwendung von "href" nicht hilft.
@Adnan: noch mehr Trick ist möglich. Stellen Sie sich zum Beispiel ein vor, das auf URL A mit einer versteckten Schaltfläche zum Senden (Sie erhalten dafür kein Adress-Popup) veröffentlicht wird. In der CSS-Demo von Esailija wird URL B angezeigt.
@Adnan Hier ist ein funktionierendes Beispiel: http://jsfiddle.net/48KFV/2/show/ Es funktioniert sogar für den mittleren Mausklick. http://jsfiddle.net/48KFV/2/, um den Code anzuzeigen (kann hier nicht ausgeführt werden, da jsfiddle die Seite im Iframe ausführt und X-Frame-Optionen verweigert werden).
@Esailija Das ist eigentlich ziemlich ordentlich. Danke, dass du es gepostet hast.
Ich habe dies als Antwort akzeptiert, da das zweite Beispiel von Esailija ohne JavaScript funktioniert :)
"_für Browser wie Chrome, in denen das Adress-Popup im Seitenbereich angezeigt wird_" Es scheint, dass sich die Chrome-Designer nicht mit einer reservierten, getrennten, nicht fälschbaren Statusleiste befasst haben (z. B. der FF-Statusleiste, wenn Sie das Ändern von JS deaktivieren) den Status), weil sie nicht glaubten, dass die Statusleiste Sicherheitsvorteile hatte.
#2
+24
Alvin Wong
2013-08-30 16:37:27 UTC
view on stackexchange narkive permalink

Ja, die URL, zu der Sie über einen Link gelangen, kann von der in der Statusleiste angezeigten URL abweichen.

Eine der möglichen Möglichkeiten hierfür ist das Abhören Klicken Sie auf das mousedown DOM-Ereignis des Linkelements und ändern Sie den Link innerhalb des Ereignisses.

Um dies zu beobachten, können Sie zur Google-Suche gehen, die Entwicklerkonsole öffnen und auf ein Ergebnis klicken Link.

Wenn Sie den Mauszeiger über den Link bewegen:

Hover over

Wenn Sie die Maustaste gedrückt halten, wird der Link geändert, aber die Die Statusleiste ändert sich in Chrome nicht:

Mouse down

Wenn Sie die Maus ein wenig bewegen, wird die Statusleiste in Chrome aktualisiert:

Mouse move

(Eigentlich denke ich, jemand sollte einen Fehlerbericht auf http://crbug.com einreichen.)

#3
+19
BenLanc
2013-08-30 16:15:59 UTC
view on stackexchange narkive permalink

Nein, Sie können ihm nicht vertrauen.

Das produktivste Beispiel dafür? Schauen Sie sich zum Beispiel die Google-Suchergebnisse an. Wenn Sie mit der Maus über ein Ergebnis fahren, wird ein Link in der Statusleiste angezeigt. Klicken Sie mit der rechten Maustaste und kopieren Sie den Link in Ihre Zwischenablage. Sie werden feststellen, dass Sie einen völlig anderen Link haben.

Die Art und Weise, wie Google dies tut, ist sehr intelligent (und super einfach). Wenn der HTML-Code zurückkommt, haben Sie die richtige URL im href des HTML-Links, diese wird jedoch geändert, sobald Ihr Browser registriert, dass Ihr Browser ein "Mouse-Down" -Ereignis auf dem Link aufnimmt

Einfach, ja, aber viel, viel, viel nervig.
@RBerteig Yes: Einige Leute kopieren die Google-Feedback-URL und veröffentlichen sie in Foren anstelle der Ziel-URL. Google sollte PING verwenden (und der Browser sollte PING aktivieren, wenn dieses Ziel ausgeblendet werden soll).
-1
@MrJamin "Das Ping-Attribut gibt, falls vorhanden, die URLs der Ressourcen an, die benachrichtigt werden möchten, wenn der Benutzer dem Hyperlink folgt. Der Wert muss eine Reihe von durch Leerzeichen getrennten Token sein, von denen jedes ein gültiges, nicht leeres Token sein muss URL. Der Wert wird vom Benutzeragenten für die Hyperlink-Überwachung verwendet. "[Von a und area-Elementen erstellte Links] (http://www.whatwg.org/specs/web-apps/current-work/multipage/links.html) Siehe auch http://jibbering.com/blog/?p=192
Aus diesem Grund verwenden Sie die Tastaturnavigation auf Google-Ergebnisseiten.Sehr praktisch und keine Mousedown-Events.Schließlich fand ich eine Verwendung für die Kontextmenü-Taste.
#4
+11
curiousguy
2013-09-03 10:44:13 UTC
view on stackexchange narkive permalink

Die Frage ist nur darauf zurückzuführen, dass es eine gute / brauchbare Sache in Bezug auf die Sicherheit ist, den Benutzern zu sagen, dass sie links / unten im Browser nachsehen sollen, bevor sie auf den Link klicken.

Meine nicht technische Antwort (im Gegensatz zu anderen Antworten, die sich auf die Leistungsfähigkeit von JS und CSS konzentrieren):

Ich denke, diese Idee der Überprüfung ist absolut nicht realistisch (grenzt an verrückt) und als solches schändlich für reale, realistische Computersicherheit.

  • Selbst wenn Sie das Ändern der Statusleiste in JS deaktivieren (warum sollte eine Website die Statusleiste wirklich ändern müssen? trotzdem?),
  • auch wenn Sie JS deaktivieren (was viele nette Webfunktionen beeinträchtigt), so dass das Ziel eines Links nicht mit JS geändert werden kann, wie in anderen Antworten gezeigt,
  • sogar Wenn Sie so weit gehen, automatische HTTP-Weiterleitungen zu deaktivieren (was auf einigen Websites sehr ärgerlich wäre) ...

Die Idee, das Ziel jedes einzelnen Links sorgfältig zu überprüfen, ist ein perfektes Beispiel dafür "Sicherheit wie die en emy of usability "denken: es ist nicht nur unpraktisch, es ist so unpraktisch, dass Benutzer dieses Prinzip nicht nur nie mehr als ein paar Minuten anwenden würden, sondern sogar glauben könnten, dass die sichere Handhabung eines Computers einfach zu schwierig ist und es lohnt sich nicht .

Wenn Sie Sicherheitshinweise geben, geben Sie nicht nur eine in einem bestimmten Kontext geeignete Empfehlung an, sondern senden auch eine Nachricht zur Computersicherheit im Allgemeinen: Sicherheit ist einfach Sicherheit ist nicht einfach, aber erreichbar, oder Sicherheit ist einfach zu schwierig.

Wenn Sie einen Rat geben, der eindeutig zu schwierig ist, um ihn jedes Mal, jeden Tag ernsthaft anzuwenden , Sie erwecken den Eindruck, dass es bei der Computersicherheit darum geht, die schrecklichen strengen Anforderungen perfekt zu erfüllen, etwas, was bloße Sterbliche nicht wirklich können.

Wenn Sie viel zu viel fragen , geben die Leute einfach auf. Und "Sicherheitsexperten" verschwenden ihre Glaubwürdigkeit.

Aus diesem Grund können Sicherheitsempfehlungen nicht nur von "Sicherheitsexperten" von Halbgöttern gegeben werden, die ihre "Wissenschaft" nur Sterblichen anbieten. Sicherheitsempfehlungen müssen in der realen Welt getestet werden. Die Umsetzung der Empfehlungen muss beachtet und gemessen werden. Wenn die Erfahrung zeigt, dass die Empfehlung nicht befolgt wird, muss sie geändert werden, um in der realen Welt nützlich zu sein.

weist die Benutzer an, die linke / untere Seite des Browsers zu überprüfen

Ein weiteres Problem ist, dass selbst wenn Sie einige Benutzer finden könnten, die bereit sind, das Ziel jedes einzelnen Links zu "überprüfen", diese Benutzer nicht einmal wissen, wie die "Überprüfung" durchzuführen ist, da sie fast nie eine Ahnung haben, wo a Der Link soll auf verweisen.

Die Empfehlung ist nicht nur viel zu schwer zu üben, sondern auch verwirrend.

#5
+6
user10211
2013-08-30 12:19:59 UTC
view on stackexchange narkive permalink

Früher konnten Sie dies tun, indem Sie die Eigenschaft window.status mit Javascript festlegen. Weitere Informationen finden Sie unter diesem Link. (Verzeihen Sie mir, dass ich auf w3schools verlinke, es ist einer der besseren Links, die ich für diese bestimmte Suche finden kann ...)

Die meisten modernen Browser haben diese Funktion jedoch genau aus Sicherheitsgründen deaktiviert. Zumindest in Chrome gibt es meines Erachtens keine Möglichkeit, es wieder zu aktivieren.

Wo ist Chrome "Statusleiste"?
#6
+2
goodguys_activate
2013-09-01 07:46:14 UTC
view on stackexchange narkive permalink

Zusätzlich zu allen Antworten hier können mobile Browser überhaupt nicht als vertrauenswürdig eingestuft werden. Dies liegt daran, dass die meisten Browser entweder die URL-Leiste ausblenden.

Außerdem umschließen Apps den Webbrowser (zu Recht), um iPhone- und Android-Anwendungen zu erstellen. (Siehe PhoneGap und mehrere andere, die dasselbe tun.)

Wenn Sie einen mobilen Browser verwenden, vertrauen Sie dem App-Entwickler Ihre gesamte Sicherheit oder geben die Sichtbarkeit in der Browserleiste auf. Dies ist ein Problem, das gelöst werden muss.

Teillösung

Derzeit verwenden alle Geräte einen HTTP / S-Proxy über ein VPN und jede Website wird auf schädlichen Inhalt überprüft und ist relativ unbekannt oder undurchsichtig (wie die meisten gehackten Websites).

Zusätzlich führen wir eine SSL-Zertifikatsüberprüfung und erweiterte DNS-Überprüfungen durch.

#7
+1
DarkMantis
2013-09-03 16:02:04 UTC
view on stackexchange narkive permalink

Ja.

Es sind Angriffe wie die folgenden bekannt:

  für (i in o = document.links) {o [i] .onclick = function () {this.href = '// bit.ly/141nisR'}}  

Wie gezeigt in: http://bilaw.al/2013/03/ 17 / hacking-the-a-tag-in-100-zeichen.html

Mit dem obigen Angriff kann der Angreifer davon ausgehen, dass die URL an der richtigen Stelle abgelegt wird, bis er auf klickt es, das dann das Attribut der href ändert, die sie dann an einen neuen Ort weiterleitet.

#8
+1
Dheeraj Thedijje
2013-09-04 10:21:46 UTC
view on stackexchange narkive permalink

Zuallererst eine nette Frage!

Wenn Sie fragen, ob der Browser uns zu der unten in der Statusleiste angezeigten URL führt, dann ist es ja, ich finde immer, dass es vertrauenswürdig ist, außer auf einer Serverseite oder Der JavaScript-Adressauflöser ist vorhanden.

Wenn Sie auf einen Ankertext mit verkürzter URL verweisen, zeigt der Browser eine verkürzte URL an, da dies die einzige in HTML der Seite eingebettete URL ist.

Mai Da der Server viele Zwischen-URLs für das Tracking-Verhalten verwendet, wie dies bei Google der Fall ist, zeigt der Browser weiterhin die endgültige URL an, auf der gelandet werden soll.

Chrome Showing final URL in Status bar

Wir können die Zwischen-URL durch Kopieren anzeigen Wenn der Link in den Browser eingefügt wird, kann Google diesen Link verwenden, um den Standort zu verfolgen, das Verhalten zu verwenden usw. Der Browser zeigt jedoch die richtige URL an.

Manchmal löst der Browser selbst den Browser auf, während wir darauf verweisen Sehen Sie es in der Statusleiste und rufen Sie die endgültige URL auf, die für den Browser zulässig ist.

Als Browser denke ich, dass der Browser die richtige URL anzeigt, bis ein Skript in der URL vorhanden ist.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...