Комментарии 70
Заставить работать эти урл в последнем фаерфоксе под виндой так и не получилось. Может из-за того что у меня адресная строка сразу ещё и поиск.
В опере работает, но спрашивает действительно ли я хочу передать логин в URL'e (если активно серфишь в интернете, то на автоматизме просто нажмёшь «отправить»). Всё-равно думаю есть немалый процент пользователей, у которых такие «трюки» сработают без лишних условий.
Сама статья лишь пища для ума, придумать можно ещё много чего.
Сама статья лишь пища для ума, придумать можно ещё много чего.
Работает в Safari 4.0.4, Firefox 3.5.7 не хочет
FF 3.5.7 UBUNTU:
yandex.ru@%68%61%62%72%61%68%61%62%72%2E%72%75
Не работает
yandex.ru@habrahabr.ru
Хотя, если бы habrahabr.ru действительно запросил бы авторизацию (вроде через WWW-Authenticate надо, да?), то может файрфокс и не спросил бы… Надо проверить!
yandex.ru@%68%61%62%72%61%68%61%62%72%2E%72%75
Не работает
yandex.ru@habrahabr.ru
Вы собираетесь зарегистрироваться на сайте «habrahabr.ru» с именем пользователя «yandex%2Eru», но данный сайт не требует аутентификации. Это может быть попыткой вас обмануть.
Является ли «habrahabr.ru» сайтом, что вы хотите посетить?
Хотя, если бы habrahabr.ru действительно запросил бы авторизацию (вроде через WWW-Authenticate надо, да?), то может файрфокс и не спросил бы… Надо проверить!
а вот в ОПЕРЕ работает
В сафари на айпод тач работает, предупреждений нет!
Даже без http:// и с закодированным habrahabr.ru
Даже без http:// и с закодированным habrahabr.ru
В опере тоже не работает.
Первый вариант с логином мог бы сработать для ftp, но все же.
Метод с IP сработал в гуглохроме.
Первый вариант с логином мог бы сработать для ftp, но все же.
Метод с IP сработал в гуглохроме.
Кстати, подобное в интернете уже используется, но нечасто, видимо, именно потому, что работает кое как и кое где.
у меня в опере 10.10 сработало оО
В гуглохроме и первый метод работает, нужно только http:// в начале пририсовать =)
Фаерфоксе не работает.
Вы собираетесь зарегистрироваться на сайте «1297618184» с именем пользователя «vkontakte%2Eru*id», но данный сайт не требует аутентификации. Это может быть попыткой вас обмануть.
Является ли «1297618184» сайтом, что вы хотите посетить?
Последний фф
Является ли «1297618184» сайтом, что вы хотите посетить?
Последний фф
Хм. Спасибо, однако в хроме не работает, выходит в поиск в гугле. Chrome 4.0.249.43, lin86_64
Если добавить http:// перед адресом, у меня работает
А что работает-то? адрес отображается без имени и в раскодированном виде — т.е. habrahabr.ru, т.е. цель скрыть домен не достигнута.
Я думал, что «обман адресной строки» заключается не в подстановке текста ссылки, а в том, чтобы заставить браузер отображать в адресной строке не тот сайт, на котором пользователь находится на самом деле. Раньше такой трюк проходил в IE.
Если в адресной строке вместо vkontakte светится habrahabr, то какой же это «обман адресной строки»?
А если речь идёт о подстановки ссылки, то тут ничего сложного, сама спецификация подразумевает возможность отображения любого текста ссылкой (и не важно, адрес это или нет, с другого он домена или нет).
Если в адресной строке вместо vkontakte светится habrahabr, то какой же это «обман адресной строки»?
А если речь идёт о подстановки ссылки, то тут ничего сложного, сама спецификация подразумевает возможность отображения любого текста ссылкой (и не важно, адрес это или нет, с другого он домена или нет).
сразу видно по @ что ссылка не ведёт на яндекс…
Это нам сразу видно, а вот тех, кто уже даже научился читать URL на предмет обмана через схожесть написания, придётся дополнительно учить различать допустимые символы. Про «кликающих на автомате» умолчим.
ну и опера к примеру всегла выдает подобное окно, если не отключено в настройках, а это руками надо отрубать
огнелис мало того что выводит табличку на второй тип ссылок, так и по первому переходит на поиск тех %символов что идут дальше, хотя может криво вводил, но думаю дальше тенденция обезопасить пользователей у популярных браузеров сведёт на нет такие способы обмана
IE8 оказался самым защищённым? ) Ни один из способов не сработал…
значит не держит стандарты ибо должно было сработать.
Вот как раз в RFC 1728 по поводу HTTP не написано, что там можно использовать пару user & password. А если совсем конкретно, то НЕ разрешено, то есть запрещено!
У автора топика ошибка в рассуждениях:
Это общий формат. А для конкретных протоколов там ниже идёт описание особенностей. Для FTP подключение user:password@ разрешается (и IE этому не препятствует). Для HTTP см. цитату выше (IE опять же всё выдаёт ошибку правильно)
No user name or password is allowed.
У автора топика ошибка в рассуждениях:
Фактически мы просто использовали абсолютно правильный формат URL'а
Это общий формат. А для конкретных протоколов там ниже идёт описание особенностей. Для FTP подключение user:password@ разрешается (и IE этому не препятствует). Для HTTP см. цитату выше (IE опять же всё выдаёт ошибку правильно)
Я всегда считал, что логин и пароль можно передавать в строке для Simple HTTP Auth. А «Long ip» работает?
Работает
Логин и пароль можно передавать в строке для Basic HTTP Auth.
user
An optional user name. Some schemes (e.g., ftp) allow the
specification of a user name.
password
An optional password. If present, it follows the user
name separated from it by a colon.
Нельзя указать пароль без имени пользователя, но не наоборот.
Ещё раз
3.1. Common Internet Scheme Syntax — Общий синтаксис схем Интернета
Некоторым схемам (например, ftp) позволительно по спецификации [запрашивать] имя пользователя.
3.3. HTTP
Имя пользователя или пароль не допускаются.
Ключевые моменты выделил курсивом. Итого: имя пользователя для ftp-протокола запрашивать можно. Для http — нельзя (!), так как он не относится к некоторым
Вывод: IE делает правильно — видит некорректный URL и не анализирует его. Остальные браузеры же делают НЕправильно — считают URL корректным и приступают к его разбору
Бардак не вклозетах стандартах, а в браузерах, которые ввели по своей инициативе удобную фишку, являющуюся опасной потенциальной уязвимостью
3.1. Common Internet Scheme Syntax — Общий синтаксис схем Интернета
Some schemes (e.g., ftp) allow the specification of a user name.
Некоторым схемам (например, ftp) позволительно по спецификации [запрашивать] имя пользователя.
3.3. HTTP
No user name or password is allowed.
Имя пользователя или пароль не допускаются.
Ключевые моменты выделил курсивом. Итого: имя пользователя для ftp-протокола запрашивать можно. Для http — нельзя (!), так как он не относится к некоторым
Вывод: IE делает правильно — видит некорректный URL и не анализирует его. Остальные браузеры же делают НЕправильно — считают URL корректным и приступают к его разбору
Бардак не в
Интересно!!! Спасибо карма + не позволяет)))
Обход через явное указание авторизации в современных браузерах должен вызывать оповещение, способ не хитрый а старый
Многие говорят, что где-то не работает. Это не так, работает в большинстве бразеров. Не забывайте, что в адрес входит не только название домена: http://vkontakte.ru*id@1297618184/
В IE8 даже с http:// не откроется ;) Так что большинство пользователей Windows могут спать спокойно
Ну хорошо, 21% пользователей IE8 в Windows могут спать спокойно. И я почти уверен, что в IE6 и IE7 это тем более не сработает. Вот и получается более 50% ;)
Слона то я и не приметил :) Да, вроде в ие не работает.
+1, про IE я уже писал выше
В этом плане он самый правильный браузер )
В этом плане он самый правильный браузер )
Подобными «хитрыми урлами» занимались «Самоновости»
Там генерировали URL убедительно похожий на URL новостных сайтов.
Заметка на ленте об этом: lenta.ru/internet/2003/02/04/fakecnn/
Не мало писем было получено от пользователей, которые возмущались о размещении некорректных данных :)
Там генерировали URL убедительно похожий на URL новостных сайтов.
Заметка на ленте об этом: lenta.ru/internet/2003/02/04/fakecnn/
Не мало писем было получено от пользователей, которые возмущались о размещении некорректных данных :)
> Фактически мы просто использовали абсолютно правильный формат URL'а (который определён в RFC 1728, см. раздел 3.1)
Это ложь. Там дальше в RFC1728 указано, что должен удовлетворять RFC1034 [секция 3.5], где явно указаны символы, которые могут использоваться в имени домена, символа % среди них нет. Для кодирования символов в именах доменов за пределами разрешенного диапазона используется другой метод (не CGI-escape), см. RFC3490.
Это ложь. Там дальше в RFC1728 указано, что должен удовлетворять RFC1034 [секция 3.5], где явно указаны символы, которые могут использоваться в имени домена, символа % среди них нет. Для кодирования символов в именах доменов за пределами разрешенного диапазона используется другой метод (не CGI-escape), см. RFC3490.
Chrome по такой ссылке заходит на yandex, скромно предлагая перейти на «yandex@habrahabr.ru». Сомневаюсь, что хоть один современный браузер не знает про эту фитчу :)
FF перенаправил в гугл
а вот konqueror скушал и не спросил.
а вот konqueror скушал и не спросил.
Это боянище, этот способ использовали для фишинга через email еще лет 10 назад! Более того, тогда просто в качестве username ставили очень длинную строку. так что реальный адрес после @ вообще не был виден.
Офигеть новость достойная обсуждения. Это, по-моему, в КТ даже было, лет этак 6 назад.
Чего там в RFC ещё нового? xD
Чего там в RFC ещё нового? xD
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Хитрые способы обмана адресной строки