V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Get Google Chrome
Vimium · 在 Chrome 里使用 vim 快捷键
zztemp
V2EX  ›  Chrome

chrome 真是这种钓鱼网址的好帮手

  •  
  •   zztemp · 2017-04-19 19:13:28 +08:00 · 3063 次点击
    这是一个创建于 2766 天前的主题,其中的信息可能已经有所发展或是发生改变。

    钓鱼网址: https://www.xn--80ak6aa92e.com/

    chrome 打开后直接显示成绿标安全的的苹果官网,能分辨出来有什么不同吗?

    Firefox 及基于新 chrome 内核的浏览器都会这样。

    图片与解释见 http://www.cnbeta.com/articles/tech/604235.htm

    查看证书能露出原型,但 chrome 查看证书的功能已被藏到开发者工具里。

    一年前就有人质疑 chrome 将查看证书隐藏带来的安全问题: https://www.v2ex.com/t/280460 ,根证书攻击隐患。现在则是 punycode 编码网址。

    6 条回复    2017-04-23 15:58:48 +08:00
    tumbzzc
        1
    tumbzzc  
       2017-04-19 19:19:49 +08:00
    关键是在 Chrome 浏览器显示的也是 Apple.com (虽然我知道并不是英文)
    zscself
        2
    zscself  
       2017-04-19 19:22:29 +08:00
    Chrome 查看证书功能被隐藏让人不爽。但是,通过证书去辨别高仿网站本来就是错误的。“小绿锁”是为了说明链接是加密的,从来没有人为网站的真实性背书。如果楼主想要在地址栏就看到网站的各种注册信息,包括是不是假冒网站,建议安装一个国产安全软件或者浏览器。根证书私签合法证书可以通过 HPKP 防范
    Tonni
        3
    Tonni  
       2017-04-19 19:32:47 +08:00
    Version 60.0.3074.0 (Official Build) canary (64-bit) 打开后会显示原始地址。
    zztemp
        4
    zztemp  
    OP
       2017-04-19 19:36:20 +08:00
    @Tonni 看样子默认关闭了 punycode ?动作还是可以的,但现在 release 只推送到 57 。
    zztemp
        5
    zztemp  
    OP
       2017-04-19 19:39:44 +08:00
    @zscself IE 会标明签署组织是哪个,以前的 chrome 点地址栏可以查看证书。这对一般用户以及大多数钓鱼网址而言足矣,步骤更麻烦一点就没多少人愿意操作了。
    Khlieb
        6
    Khlieb  
       2017-04-23 15:58:48 +08:00
    我搞到 58.0 ,而且看到效果了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1045 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 22:33 · PVG 06:33 · LAX 14:33 · JFK 17:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.