Как стать автором
Обновить

Фишинг с помощью тега title

Время на прочтение1 мин
Количество просмотров11K

Разработчики мобильных браузеров уже давно пытаются стереть различия между сайтами и приложениями (да, я смотрю на тебя, PWA), и у них это вполне неплохо получается. Но всё таки остался ещё один концепт, который делает веб вебом и не даёт реализовать максимально сходный с нативным приложением пользовательский опыт — это URL в адресной строке браузера. Предлагаю узнать, как с этой проблемой справляется, скажем, китайский CM Browser.
CM Browser


Открываем Хабр, и видим, что по умолчанию в адресной строке отображается title страницы.



А чтобы увидеть URL, нужно тапнуть по адресной строке.



В принципе, понятно, как всё это работает. Теперь вопрос — это настоящий bitcoin.org, или нет? Даже зелёный замочек HTTPS в наличии.


bitcoin.org


На самом деле, этот сайт отобразил написанный мной небольшой скрипт (поменяйте параметр url, как ни странно, в URL и проверьте работу на других сайтах). Исходный код скрипта можно найти на GitHub.



Таким образом, мы получаем достаточно простую в реализации и эффективную (особенно в сочетании с омографичным доменом) возможность для фишинга как минимум 50 миллионов пользователей. Надеюсь, Cheetah Mobile и родительская Kingsoft как можно скорее обратят внимание на эту проблему.

Теги:
Хабы:
Всего голосов 35: ↑30 и ↓5+25
Комментарии10

Публикации

Работа

Ближайшие события

15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань