Фишинг с помощью тега title

в 10:25, , рубрики: title, url, безопасность, браузер, информационная безопасность, фишинг

Разработчики мобильных браузеров уже давно пытаются стереть различия между сайтами и приложениями (да, я смотрю на тебя, PWA), и у них это вполне неплохо получается. Но всё таки остался ещё один концепт, который делает веб вебом и не даёт реализовать максимально сходный с нативным приложением пользовательский опыт — это URL в адресной строке браузера. Предлагаю узнать, как с этой проблемой справляется, скажем, китайский CM Browser.
CM Browser

Открываем Хабр, и видим, что по умолчанию в адресной строке отображается title страницы.

Фишинг с помощью тега title - 2

А чтобы увидеть URL, нужно тапнуть по адресной строке.

Фишинг с помощью тега title - 3

В принципе, понятно, как всё это работает. Теперь вопрос — это настоящий bitcoin.org, или нет? Даже зелёный замочек HTTPS в наличии.

bitcoin.org

На самом деле, этот сайт отобразил написанный мной небольшой скрипт (поменяйте параметр url, как ни странно, в URL и проверьте работу на других сайтах).

Фишинг с помощью тега title - 5

Таким образом, мы получаем достаточно простую в реализации и эффективную (особенно в сочетании с омографичным доменом) возможность для фишинга как минимум 50 миллионов пользователей. Надеюсь, Cheetah Mobile и родительская Kingsoft как можно скорее обратят внимание на эту проблему.

Автор: agulitsky

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js