Хитрые способы обмана адресной строки

[@eli314]

Заставить работать эти урл в последнем фаерфоксе под виндой так и не получилось. Может из-за того что у меня адресная строка сразу ещё и поиск.

[@AndryX]

В опере работает, но спрашивает действительно ли я хочу передать логин в URL'e (если активно серфишь в интернете, то на автоматизме просто нажмёшь «отправить»). Всё-равно думаю есть немалый процент пользователей, у которых такие «трюки» сработают без лишних условий.

Сама статья лишь пища для ума, придумать можно ещё много чего.

[@r3verser]

Работает в Safari 4.0.4, Firefox 3.5.7 не хочет

[@TheRipper]

FF 3.5.7 UBUNTU:
yandex.ru@%68%61%62%72%61%68%61%62%72%2E%72%75
Не работает

yandex.ru@habrahabr.ru

Вы собираетесь зарегистрироваться на сайте «habrahabr.ru» с именем пользователя «yandex%2Eru», но данный сайт не требует аутентификации. Это может быть попыткой вас обмануть.

Является ли «habrahabr.ru» сайтом, что вы хотите посетить?

Хотя, если бы habrahabr.ru действительно запросил бы авторизацию (вроде через WWW-Authenticate надо, да?), то может файрфокс и не спросил бы… Надо проверить!

[@Deepwalker]

Мы же закидываем типа на фишерский сайт, так что аутентификацию запросить не проблема.

[@danilissimus]

а вот в ОПЕРЕ работает

[@Cancel]

Security warning:

You are about to go to an address containing a username.

Username: yandex.ru
Server: habrahabr.ru

Are you sure you want to go to this address?

[@TheRipper]

В сафари на айпод тач работает, предупреждений нет!
Даже без http:// и с закодированным habrahabr.ru

[@skobkin]

В опере тоже не работает.
Первый вариант с логином мог бы сработать для ftp, но все же.
Метод с IP сработал в гуглохроме.

[@skobkin]

Кстати, подобное в интернете уже используется, но нечасто, видимо, именно потому, что работает кое как и кое где.

[@skobkin]

Не знаю, не был ;)

[@AndryX]

у меня в опере 10.10 сработало оО

[@skobkin]

10.5 у меня. Может, в этом дело.

[@SKYnv]

прекрасно пашет

[@skobkin]

Видимо вчера по недосыпу накосячил )

[@rukurbanov]

В гуглохроме и первый метод работает, нужно только http:// в начале пририсовать =)

[@lasthero]

Фаерфоксе не работает.

[@Isis]

Вы собираетесь зарегистрироваться на сайте «1297618184» с именем пользователя «vkontakte%2Eru*id», но данный сайт не требует аутентификации. Это может быть попыткой вас обмануть.

Является ли «1297618184» сайтом, что вы хотите посетить?

Последний фф

[@AndryX]

Догадываюсь, что если в свой сайт можно добавить требование аутентификации, то данное сообщение не появится, нужно проверить.

[@fata1ex]

Первое правило бойцовского клуба…

[@TuKTeeK]

Илита. Ничего более.

[@NektoDev]

Хм. Спасибо, однако в хроме не работает, выходит в поиск в гугле. Chrome 4.0.249.43, lin86_64

[@glebkk]

Если добавить http:// перед адресом, у меня работает

[@TiGR]

А что работает-то? адрес отображается без имени и в раскодированном виде — т.е. habrahabr.ru, т.е. цель скрыть домен не достигнута.

[@TiGR]

Я думал, что «обман адресной строки» заключается не в подстановке текста ссылки, а в том, чтобы заставить браузер отображать в адресной строке не тот сайт, на котором пользователь находится на самом деле. Раньше такой трюк проходил в IE.

Если в адресной строке вместо vkontakte светится habrahabr, то какой же это «обман адресной строки»?

А если речь идёт о подстановки ссылки, то тут ничего сложного, сама спецификация подразумевает возможность отображения любого текста ссылкой (и не важно, адрес это или нет, с другого он домена или нет).

[@SKYnv]

сразу видно по @ что ссылка не ведёт на яндекс…

[@Mokkey]

Это нам сразу видно, а вот тех, кто уже даже научился читать URL на предмет обмана через схожесть написания, придётся дополнительно учить различать допустимые символы. Про «кликающих на автомате» умолчим.

[@SKYnv]

ну просто как бы ресурс для людей которые не недавно открыли для себя стандарты ) и даже знание всеми айтишниками этих стандартов и возможных плясок никак не защищает этих самых простых пользователей от посягательств, пока они сами не узнают эти стандарты, но ресурс не для них ) замкнутый круг )

[@SKYnv]

ну и опера к примеру всегла выдает подобное окно, если не отключено в настройках, а это руками надо отрубать

[@infom]

Обе кнопки не активны? Или мне так кажется?

[@SKYnv]

это от PrintScreen такой эффект получился у меня )

[@Denai]

огнелис мало того что выводит табличку на второй тип ссылок, так и по первому переходит на поиск тех %символов что идут дальше, хотя может криво вводил, но думаю дальше тенденция обезопасить пользователей у популярных браузеров сведёт на нет такие способы обмана

[@AndrewTishkin]

IE8 оказался самым защищённым? ) Ни один из способов не сработал…

[@andoriyu]

значит не держит стандарты ибо должно было сработать.

[@AndrewTishkin]

Вот как раз в RFC 1728 по поводу HTTP не написано, что там можно использовать пару user & password. А если совсем конкретно, то НЕ разрешено, то есть запрещено!
No user name or password is allowed.

У автора топика ошибка в рассуждениях:

Фактически мы просто использовали абсолютно правильный формат URL'а

Это общий формат. А для конкретных протоколов там ниже идёт описание особенностей. Для FTP подключение user:password@ разрешается (и IE этому не препятствует). Для HTTP см. цитату выше (IE опять же всё выдаёт ошибку правильно)

[@andoriyu]

Я всегда считал, что логин и пароль можно передавать в строке для Simple HTTP Auth. А «Long ip» работает?

[@AndrewTishkin]

Работает

[@gopline]

Логин и пароль можно передавать в строке для Basic HTTP Auth.

[@AndrewTishkin]

Можно ссылку на источник?

[@gopline]

Источник — мой скромный жизненный опыт.

[@AndrewTishkin]

Ясно. Я невнимательно прочитал, вместо «можно» прочёл «разрешено»

Насчёт того что можно — не спорю, браузеры поддерживают (не все)… Но если блюсти стандарт, то этого делать нельзя

[@AndryX]

Шестнадцатеричное кодирование можно заменить на что-то подобное этому. Всё зависит только от вашей фантазии =)

[@AndryX]

user
An optional user name. Some schemes (e.g., ftp) allow the
specification of a user name.

password
An optional password. If present, it follows the user
name separated from it by a colon.

Нельзя указать пароль без имени пользователя, но не наоборот.

[@AndrewTishkin]

Ещё раз

3.1. Common Internet Scheme Syntax — Общий синтаксис схем Интернета

Some schemes (e.g., ftp) allow the specification of a user name.

Некоторым схемам (например, ftp) позволительно по спецификации [запрашивать] имя пользователя.

3.3. HTTP

No user name or password is allowed.

Имя пользователя или пароль не допускаются.

Ключевые моменты выделил курсивом. Итого: имя пользователя для ftp-протокола запрашивать можно. Для http — нельзя (!), так как он не относится к некоторым

Вывод: IE делает правильно — видит некорректный URL и не анализирует его. Остальные браузеры же делают НЕправильно — считают URL корректным и приступают к его разбору

Бардак не в клозетах стандартах, а в браузерах, которые ввели по своей инициативе удобную фишку, являющуюся опасной потенциальной уязвимостью

[@begemot_cat]

Интересно!!! Спасибо карма + не позволяет)))

[@TDz]

Обход через явное указание авторизации в современных браузерах должен вызывать оповещение, способ не хитрый а старый

[@homm]

Многие говорят, что где-то не работает. Это не так, работает в большинстве бразеров. Не забывайте, что в адрес входит не только название домена: http://vkontakte.ru*id@1297618184/

[@olegafx]

В IE8 даже с http:// не откроется ;) Так что большинство пользователей Windows могут спать спокойно

[@dohlik]

А что, случилось Рождественское Чудо и половина пользователей Windows за ночь пересели на IE8? :)

[@olegafx]

Ну хорошо, 21% пользователей IE8 в Windows могут спать спокойно. И я почти уверен, что в IE6 и IE7 это тем более не сработает. Вот и получается более 50% ;)

[@VampiRUS]

в ie6 как раз таки должно сработать, хотя хз конечно, негде проверить. Этому способу уже много лет.

[@homm]

Слона то я и не приметил :) Да, вроде в ие не работает.

[@0lympian]

В ie7 не работает. Месседжбокс:
Windows cannot find 'http://vkontakte.ru*id@1297618184/'. Check the spelling and try again.

[@AndrewTishkin]

+1, про IE я уже писал выше
В этом плане он самый правильный браузер )

[@zaurio]

Подобными «хитрыми урлами» занимались «Самоновости»
Там генерировали URL убедительно похожий на URL новостных сайтов.

Заметка на ленте об этом: lenta.ru/internet/2003/02/04/fakecnn/

Не мало писем было получено от пользователей, которые возмущались о размещении некорректных данных :)

[@zaurio]

Собственно вот еще, более ранняя новость об этом

www.lenta.ru/internet/2001/04/20/shutka/

[@Maxime]

> Фактически мы просто использовали абсолютно правильный формат URL'а (который определён в RFC 1728, см. раздел 3.1)

Это ложь. Там дальше в RFC1728 указано, что должен удовлетворять RFC1034 [секция 3.5], где явно указаны символы, которые могут использоваться в имени домена, символа % среди них нет. Для кодирования символов в именах доменов за пределами разрешенного диапазона используется другой метод (не CGI-escape), см. RFC3490.

[@AndryX]

Возможно я тогда выразился не совсем ясно: кодирование — отдельная тема, а логин в строке адреса — соответствие стандарту.

[@Mirowind]

Chrome по такой ссылке заходит на yandex, скромно предлагая перейти на «yandex@habrahabr.ru». Сомневаюсь, что хоть один современный браузер не знает про эту фитчу :)

[@stampoon]

FF перенаправил в гугл
а вот konqueror скушал и не спросил.

[@lol2Fast4U]

а вот и нет.
twitpic.com/x6vfe
«возможно, я хотел бы перейти на yandex.ru@habrahabr.ru»

[@egorinsk]

Это боянище, этот способ использовали для фишинга через email еще лет 10 назад! Более того, тогда просто в качестве username ставили очень длинную строку. так что реальный адрес после @ вообще не был виден.

[@Zhilinsky]

Офигеть новость достойная обсуждения. Это, по-моему, в КТ даже было, лет этак 6 назад.
Чего там в RFC ещё нового? xD