Comments 16
А вы давно видели всплывающие окна в браузере? Обычно, даже если сайт пытается это сделать (и ему позволили) – открывается новый таб, не отдельное окно.
Не очень понятно, на кого эта атака вообще нацелена.
А вы давно видели всплывающие окна в браузере?
А это не всплывающее окно в браузере. Это такой блок на текущей странице, внутри которого браузер только нарисован. То есть во время работы с этой как бы внешней плюхой юзер вообще не покидает изначальную зловредную страницу.
Я про настоящие всплывающие окна. Нет их. Подо что же маскируется зловред?
Ну то есть не надо никаких нестандартных тем: увидел такое окно – значит, тебя пытаются обмануть.
В самой первой картинке видно подо что маскируют. Ты сам нажимаешь "войти с помощью гугл", а это вроде всегда (или часто) открывает вот такую вкладку отдельным окном для ввода почты/пароля.
Только что попробовал Trello, AppCenter, Slack. Все три абсолютно одинаково перебросили на accounts.google.com прямо в текущей вкладке.
Возможно, зависит от настроек браузера. Пробовал в Google Chrome, в настройках выставлено Security and Privacy -> Site Settings -> Content: Pop-ups and Redirects -> Default behaviour == "Don't allow sites to send pop-ups or use redirects" (настройка по умолчанию вроде).
Буду благодарен, если назовёте сайт, на котором у вас открывается настоящий попап.
facebook открывает в мозилле (открывал недавно, по крайней мере). у меня он в отдельном окне как-то открылся и выкинул его на второй (в тот момент выключенный) монитор. Я тогда чуть не сдвинулся не понимая, почему не могу войти на сайт, пока не догадался моник включить :) .
На каком сайте? Сам фейсбук заходит только через себя, appcenter у меня вход через фейсбук только что открыл в той же вкладке - и в Chrome, и в Firefox.
Второй вопрос: не было ли это очень давно, когда все ещё не ополчились на popup-окна?
С год назад где-то. Может 2. Я где был зарегистрирован через фейсбук. И вот если я разлогинюсь в фб (что вообще было регулярно даже без моего желания, т.к. не вхожу в него), то при попытке куда-то через него зайти открывалось окно. А на поп-апы вой идет еще со времен диал-апа - только вот смысла не особенно.
То чат с ботом из угла выпрыгнет, то еще какая дурь со звуком аськи познакомиться захочет (ну там не поп-апы, конечно, но раздражают не меньше).
Вот как раз Гоогле частенько и открывает маленькие зависимые окошечки, а не табы вкладки.
В Safari @ Mac OS поведение зависит от режима окна.
Если в полноэкранном режиме — всегда новые вкладки. Если в оконном — всплывающие окна спокойно вылетают. Paypal, например, любил показывать оплату в таком pop-up
Это да. Но когда браузеры стали блокировать часть попапов – сайты стали всё чаще без них обходиться. Приведённый тут в качестве примера попап логина через гугл мне повторить не удалось.
Я не смог уже найти сайты, на которых вылезает (собственно, если они используют единое API – попапы всюду могли быть убраны централизованно гуглом... И, кажется, случилось это не сегодня).
В любом случае вылезшее попап-окно, в котором требуется ввести логин и пароль – априори подозрительно и проверять его следует всеми возможными способами (например, ткнуть правой кнопкой и нажать "Inspect" ;-)).
Hello.js - достаточно популярная библиотека для входа через соцсети. По умолчанию открывает именно попап. У них на главном сайте вверху ряд кнопок - сами попробуйте.
Как отличить нарисованный камин браузер от настоящего? Возьмите окошко и утащите его за пределы окна браузера.
Настоящее окно утащится хоть на соседний монитор, нарисованное — останется внутри document viewport.
И, конечно, подделать окно с современной красивой ОС довольно сложно. Картинку подделать умеренно легко, но поведение — совсем сложно. User UI customisations узнать и подделать примерно невозможно
Атака «Браузер внутри браузера». Как защититься