表示させてください:( 注レーン: 元の記事で見られる例。リンクは最初はPayPalにつながりますが、クリックすると著者のブログの別のページにリダイレクトされます。 )
これまで見てきたように、PayPalに切り替えませんでした(明らかに、この動作が修正されているOperaを除く)。 これは、リンクをクリックした後、リンクのhref属性を変更するコードが起動され、驚くことに、ブラウザーが新しいアドレスを送信するために発生しました。 しかし、これは起こらないはずです。 リンクを使用してサイト(おそらく技術的に最も精通しているサイト)にアクセスしたユーザーは、この場合はPayPalサイトにアクセスする場所を想定します。 昨年、PayPalは数ヶ月間、ホームページ(英国)からpaypal-business.co.ukにリダイレクトしました。 私の意見では、ユーザーはすでにこのようなリダイレクトに慣れています。これは、それ自体が脆弱性であり、フィッシング2.0と呼んでいる本当の脅威です。
コードを見てください:
// var links = document.links; for(i in links) { links[i].onclick = function(){ this.href = 'http://bit.ly/141nisR'; }; } // ( 100 ; 67, ) // sgoel HN o=document.links;for(i in o){o[i].onclick=function(){this.href='//bit.ly/141nisR'}}
このイベントを検出するのは非常に困難です。 JavaScript / jQueryを使用するほとんどすべての人が、リンクにonclick属性を直接関連付けるのではなく、<a>タグのイベントハンドラーを使用します。これは、検出がはるかに困難です。 さらに、setTimeoutラッパーを使用して、ハンドラーを検出する手段をバイパスできます。 多かれ少なかれ有能なハッカーは、コンピューターウイルスを作成したり、埋め込みJavaScriptコードを注入に使用したりできます。 JavaScriptコードは(特にインジェクションによって)非常に簡単に更新でき、McAfeeSecureやPhishTankなどのツールはPhishing 2.0に耐えられないと言えます
UPD(19/3) -アイデアが浮かびました-リンクをクリックすると、別のドメインへの移行が行われることをユーザーに警告するために( +1からabididea )。 GoogleやFacebookなどのサイトは、通常どおり機能し続けます。 1つのドメインを使用すると、フィッシングの可能性がなくなります。 この場合、誰もが勝ちます(もちろん、フィッシャーを除きます!)。 主要なブラウザができるだけ早くこのアイデアを受け入れるように、あなたの助けが必要です。 攻撃者から普通のユーザーをだます簡単な方法を1つ取り上げましょう。
UPD(19/3)-Firefoxの修正を提案し、回答を待っています。
UPD(20/3)-Google Chromeがホットフィックスをリリースするという噂がありますが、この確認は聞いていません。
( これが私の最初の翻訳です。厳密に判断しないでください、%username%、個人アカウントのすべてのコメントを喜んで受け入れ、修正を試みます。 )
UPD:私は注意を払いたい-私の意見は、特にリダイレクト時の通知の考え方において、常に元の記事の著者と一致するとは限りません。 また、データを入力する前にアドレスバーを確認する必要があるというコメントで既に表明されている視点をサポートします。