Könnte sich diese URL (links / unten) von der URL meines Webbrowsers unterscheiden?

Ja.

• Für einen einfachen Link-Klick könnte der gesamte Klick von JavaScript erfasst und dazu gebracht werden, etwas anderes zu tun, einschließlich der Navigation zu Auf einer anderen Seite

• könnte der Link beim Herunterfahren ersetzt werden (dies ist bei einigen Link-Klick-Tracking-Skripten üblich).

• Bei Browsern wie Chrome, bei denen das Adress-Popup im Seitenbereich angezeigt wird, kann dieses Popup mit JavaScript und Seitenelementen gefälscht werden. Im Allgemeinen können Sie nur der Browser-Benutzeroberfläche vertrauen, die außerhalb der Seitensteuerung im Chrome-Rahmen angezeigt wird.

Folglich ist das Adress-Popup eine praktische Funktion, bietet jedoch keine Sicherheitsfunktion .

Ja, die URL, zu der Sie über einen Link gelangen, kann von der in der Statusleiste angezeigten URL abweichen.

Eine der möglichen Möglichkeiten hierfür ist das Abhören Klicken Sie auf das mousedown DOM-Ereignis des Linkelements und ändern Sie den Link innerhalb des Ereignisses.

Um dies zu beobachten, können Sie zur Google-Suche gehen, die Entwicklerkonsole öffnen und auf ein Ergebnis klicken Link.

Wenn Sie den Mauszeiger über den Link bewegen:

Wenn Sie die Maustaste gedrückt halten, wird der Link geändert, aber die Die Statusleiste ändert sich in Chrome nicht:

Wenn Sie die Maus ein wenig bewegen, wird die Statusleiste in Chrome aktualisiert:

(Eigentlich denke ich, jemand sollte einen Fehlerbericht auf http://crbug.com einreichen.)

Nein, Sie können ihm nicht vertrauen.

Das produktivste Beispiel dafür? Schauen Sie sich zum Beispiel die Google-Suchergebnisse an. Wenn Sie mit der Maus über ein Ergebnis fahren, wird ein Link in der Statusleiste angezeigt. Klicken Sie mit der rechten Maustaste und kopieren Sie den Link in Ihre Zwischenablage. Sie werden feststellen, dass Sie einen völlig anderen Link haben.

Die Art und Weise, wie Google dies tut, ist sehr intelligent (und super einfach). Wenn der HTML-Code zurückkommt, haben Sie die richtige URL im href des HTML-Links, diese wird jedoch geändert, sobald Ihr Browser registriert, dass Ihr Browser ein "Mouse-Down" -Ereignis auf dem Link aufnimmt

Die Frage ist nur darauf zurückzuführen, dass es eine gute / brauchbare Sache in Bezug auf die Sicherheit ist, den Benutzern zu sagen, dass sie links / unten im Browser nachsehen sollen, bevor sie auf den Link klicken.

Meine nicht technische Antwort (im Gegensatz zu anderen Antworten, die sich auf die Leistungsfähigkeit von JS und CSS konzentrieren):

Ich denke, diese Idee der Überprüfung ist absolut nicht realistisch (grenzt an verrückt) und als solches schändlich für reale, realistische Computersicherheit.

• Selbst wenn Sie das Ändern der Statusleiste in JS deaktivieren (warum sollte eine Website die Statusleiste wirklich ändern müssen? trotzdem?),
• auch wenn Sie JS deaktivieren (was viele nette Webfunktionen beeinträchtigt), so dass das Ziel eines Links nicht mit JS geändert werden kann, wie in anderen Antworten gezeigt,
• sogar Wenn Sie so weit gehen, automatische HTTP-Weiterleitungen zu deaktivieren (was auf einigen Websites sehr ärgerlich wäre) ...

Die Idee, das Ziel jedes einzelnen Links sorgfältig zu überprüfen, ist ein perfektes Beispiel dafür "Sicherheit wie die en emy of usability "denken: es ist nicht nur unpraktisch, es ist so unpraktisch, dass Benutzer dieses Prinzip nicht nur nie mehr als ein paar Minuten anwenden würden, sondern sogar glauben könnten, dass die sichere Handhabung eines Computers einfach zu schwierig ist und es lohnt sich nicht .

Wenn Sie Sicherheitshinweise geben, geben Sie nicht nur eine in einem bestimmten Kontext geeignete Empfehlung an, sondern senden auch eine Nachricht zur Computersicherheit im Allgemeinen: Sicherheit ist einfach Sicherheit ist nicht einfach, aber erreichbar, oder Sicherheit ist einfach zu schwierig.

Wenn Sie einen Rat geben, der eindeutig zu schwierig ist, um ihn jedes Mal, jeden Tag ernsthaft anzuwenden , Sie erwecken den Eindruck, dass es bei der Computersicherheit darum geht, die schrecklichen strengen Anforderungen perfekt zu erfüllen, etwas, was bloße Sterbliche nicht wirklich können.

Wenn Sie viel zu viel fragen , geben die Leute einfach auf. Und "Sicherheitsexperten" verschwenden ihre Glaubwürdigkeit.

Aus diesem Grund können Sicherheitsempfehlungen nicht nur von "Sicherheitsexperten" von Halbgöttern gegeben werden, die ihre "Wissenschaft" nur Sterblichen anbieten. Sicherheitsempfehlungen müssen in der realen Welt getestet werden. Die Umsetzung der Empfehlungen muss beachtet und gemessen werden. Wenn die Erfahrung zeigt, dass die Empfehlung nicht befolgt wird, muss sie geändert werden, um in der realen Welt nützlich zu sein.

weist die Benutzer an, die linke / untere Seite des Browsers zu überprüfen

Ein weiteres Problem ist, dass selbst wenn Sie einige Benutzer finden könnten, die bereit sind, das Ziel jedes einzelnen Links zu "überprüfen", diese Benutzer nicht einmal wissen, wie die "Überprüfung" durchzuführen ist, da sie fast nie eine Ahnung haben, wo a Der Link soll auf verweisen.

Die Empfehlung ist nicht nur viel zu schwer zu üben, sondern auch verwirrend.

Früher konnten Sie dies tun, indem Sie die Eigenschaft window.status mit Javascript festlegen. Weitere Informationen finden Sie unter diesem Link. (Verzeihen Sie mir, dass ich auf w3schools verlinke, es ist einer der besseren Links, die ich für diese bestimmte Suche finden kann ...)

Die meisten modernen Browser haben diese Funktion jedoch genau aus Sicherheitsgründen deaktiviert. Zumindest in Chrome gibt es meines Erachtens keine Möglichkeit, es wieder zu aktivieren.

Zusätzlich zu allen Antworten hier können mobile Browser überhaupt nicht als vertrauenswürdig eingestuft werden. Dies liegt daran, dass die meisten Browser entweder die URL-Leiste ausblenden.

Außerdem umschließen Apps den Webbrowser (zu Recht), um iPhone- und Android-Anwendungen zu erstellen. (Siehe PhoneGap und mehrere andere, die dasselbe tun.)

Wenn Sie einen mobilen Browser verwenden, vertrauen Sie dem App-Entwickler Ihre gesamte Sicherheit oder geben die Sichtbarkeit in der Browserleiste auf. Dies ist ein Problem, das gelöst werden muss.

Teillösung

Derzeit verwenden alle Geräte einen HTTP / S-Proxy über ein VPN und jede Website wird auf schädlichen Inhalt überprüft und ist relativ unbekannt oder undurchsichtig (wie die meisten gehackten Websites).

Zusätzlich führen wir eine SSL-Zertifikatsüberprüfung und erweiterte DNS-Überprüfungen durch.

Ja.

Es sind Angriffe wie die folgenden bekannt:

  für (i in o = document.links) {o [i] .onclick = function () {this.href = '// bit.ly/141nisR'}}  

Wie gezeigt in: http://bilaw.al/2013/03/ 17 / hacking-the-a-tag-in-100-zeichen.html

Mit dem obigen Angriff kann der Angreifer davon ausgehen, dass die URL an der richtigen Stelle abgelegt wird, bis er auf klickt es, das dann das Attribut der href ändert, die sie dann an einen neuen Ort weiterleitet.

Zuallererst eine nette Frage!

Wenn Sie fragen, ob der Browser uns zu der unten in der Statusleiste angezeigten URL führt, dann ist es ja, ich finde immer, dass es vertrauenswürdig ist, außer auf einer Serverseite oder Der JavaScript-Adressauflöser ist vorhanden.

Wenn Sie auf einen Ankertext mit verkürzter URL verweisen, zeigt der Browser eine verkürzte URL an, da dies die einzige in HTML der Seite eingebettete URL ist.

Mai Da der Server viele Zwischen-URLs für das Tracking-Verhalten verwendet, wie dies bei Google der Fall ist, zeigt der Browser weiterhin die endgültige URL an, auf der gelandet werden soll.

Wir können die Zwischen-URL durch Kopieren anzeigen Wenn der Link in den Browser eingefügt wird, kann Google diesen Link verwenden, um den Standort zu verfolgen, das Verhalten zu verwenden usw. Der Browser zeigt jedoch die richtige URL an.

Manchmal löst der Browser selbst den Browser auf, während wir darauf verweisen Sehen Sie es in der Statusleiste und rufen Sie die endgültige URL auf, die für den Browser zulässig ist.

Als Browser denke ich, dass der Browser die richtige URL anzeigt, bis ein Skript in der URL vorhanden ist.