谷歌整了几个新域名,让我们距离网络诈骗更近了一步
随手注册一个域名放到网上,就可以得到极客们的夸夸?
这么个简单的事,就能让大家交口称赞,其实是因为这哥们用自己的实际行动,抵制了谷歌最近这个犯浑的操作。。。
它开放了一个类似于 .com、.cn 的顶级域名:
.zip。
这波操作,搞得咱们以后在网上下东西,聊天得更加小心了。
虽然我相信大家现在不太会去网页端里下载东西,但谷歌这通操作完,指不定回头你就要吃瘪了。
在聊这个全新的顶级域名前,托尼先来告诉大家,这玩意到底可以动什么手脚。
看看这两个链接有什么区别:
看起来是不是差不多?
但其实,前一个是指向 Github 上一个项目里的某个软件压缩包。
而后者前面那一大串都是障眼法,它真正指向的是一个叫做 v1271.zip 的网站。
至于这网站里藏了啥玩意,那我们可就不清楚了,指不定就是个古早味钓鱼网站。
总之就是一整个风险拉满。
等等,这玩意看起来不是个 github 上的文件链接吗,怎么成了另一个人的钓鱼网址呢?
其实这就和电脑如何识别网址有关了:
在访问网络的时候,服务器会把 “https://” 和 “@” 之间的内容给当作用户的信息,而不是真实的网址。
被当作网址的,是 “@” 后面的一连串信息。
所以 https://google.com@bing.com 这个网址其实访问的是 bing.com ,中间的 google.com 因为被‘ @ ’夹在中间所无视。
但是如果我们在 “@” 前面再加个 ‘ / ’ 正斜杠,电脑就会把正斜杠后面的内容当做网址路径的一部分。
简单来说,有 ‘ / ’的话,‘ @ ’就没用了。
举个例子,https : //google.com/search@bing.com 这个网址就不会落在 Bing ,而是访问到 Google 上。
这下问题就来了。
刚才那个网站是怎么做到,绕过这个限制的?明明它也有正斜杠啊。
其实仔细看能发现,这个正斜杠长的不太一样。因为在咱们常用的字符列表里,有另外两个和 / 非常像的字符:
U+2215 ( ∕ )和 U+2044 ( ∕ )
它们在 Chrome 浏览器中不被认为是真正的正斜杠,也不像正斜杠那样,能让‘ @ ’变没用。
所以才能实现一整个偷梁换柱,让假网址变的很像真网址。
虽然说多看几眼咱们可以发现这个假斜杠的宽度不太一样,而且仔细看的话,会发现 Chrome 也对真实访问的网址用颜色做出了标识。
但是呢!在电子邮件里,‘ @ ’的字号可以被设置到最小,来实现一个瞒天过海。
你品品下面这张图。
来自海外安全人员的测试
这就是它实现恶意攻击的方式。通过假的正斜杠 + @ 字符的方式,将虚假的. zip 域名给伪装成一个正规下载文件。
所以啊,对于谷歌这波操作,我是真没整明白。。。
这事得追溯到 2023 年 5 月 15 号,谷歌开放出了一批新的顶级域名( TLD )给大家注册。
这些顶级域名就像是各个网站页面们的 “ 小区号 ” ,比如 .com、.org 、.cn 、.edu 这些都是。
互联网发展了这么多年,大家对网址的需求也贼多。为了能让大家都有足够能用的网址,互联网运营商会提供各种各样的顶级域名来让大家购买。
而在这回被放出来的顶级域名里,就有. zip 的身影(同时开放的还有. dad.phd.prof.esq.foo.mov 这些 )。
之后,咱们就可以注册各种以 zip 结尾的网址,比如说什么 setup.zip 啊,前面提到的 v1271.zip 都是如此。
本来到这一步其实事情其实也还好,大家伙都是擅长网络冲浪的高手,也不至于看到个网站就打开了。
但坏就坏在,这玩意放网址里,长得太像一个可以下载的压缩文件了,谁还没下过几个 zip 安装包啊。
而且危害还不止如此。
这年头的软件们都喜欢给咱们输的文字版网址,自动生成一个可以点击的超链接,所以它的危害性能再上一层。
比如微信就可以把. com 结尾的、长得像网址的东西转换成链接,虽然目前还没识别. zip 这个顶级域名,但是可能也就是时间问题。
这就意味着,未来我们在聊天、发邮件、找攻略的时候,遇到的所有 XXX.zip 都可能变成一个可以点击的链接。
咱们就举个例子吧。想象一下咱们在找资源的时候,可能会看到好心人这样介绍:
这种时候如果有人恶意注册了 download.zip 这个域名的话,就会导致这段话里的 donwload.zip 变成一个可以立刻点击的链接。。。
那万一路过的群众如果点击一下这个链接,打开的东西可能就不是咱们想要的资源,而是一个恶意文件或者是网页。
风险一整个拉满。
所以,在这些本意方便大家的技术叠加之下,. zip 这个域名的危险性被再一次放大。
不过呢,这事其实也不是那么容易碰到的,而且网上也有不少大佬用这个域名做了很多有意思的事情,自愿当起了 “ 白衣骑士 ” 。
比如文章开头里提到的夸夸,就是在感谢一位叫 Alex 的大佬,他注册下来了 setup.zip 这个域名,用来宣传. zip 的危害性。
也有老哥为了让大家更直观的认识到 .zip 可能带来的危害,在自己的 zip 域名上设计了一个模仿 WinRAR 的界面。
你还别说,我觉得这有鼻子有眼的页面还真的能骗到人
甚至还有人为了一劳永逸,做了一个 Chrome 插件,用来禁止浏览器访问. zip 和. mov 域名。
虽然说对咱们这样的互联网用户来说,去论坛上找资料的情况已经不多了。
但无论如何,网上冲浪还是要注意安全,不该点的链接不要瞎点。
也祝愿大家别和我一样,被黑客一秒盗走了账号密码。。。
撰文:小陈 编辑:面线 美术:焕妍 & 阳光
图片、资料来源:
https://www.freedidi.com/9481.html
https://mrd0x.zip/index.html
File Manager
https://medium.com/@bobbyrsec/the-dangers-of-googles-zip-tld-5e1e675e59a5
The .zip TLD sucks and it needs to be immediately revoked.
by u/190n in programming
https://www.wangan.com/p/11v75df801ff3176
https://www.alexanderjaeger.de/setup-zip/
本文地址:https://qasks.com/archives/16489
以上内容源自互联网,由百科助手整理汇总,其目的在于收集传播生活技巧,行业技能,本网站不对其真实性、可靠性承担任何法律责任,如有侵权请联系删除。特此声明!
题图来自Unsplash,基于CC0协议
相关推荐
-
去非洲做运动鞋,商机和危险并存
提到非洲,很多人首先想到的是当地贫穷而动荡的环境,在此基础上,商业、品牌乃至艺术,似乎都是遥远的话题。实际上,虽然许多当地人依然过着艰难的日子,但对于美、对于体育精神、对于民族品牌…
-
为什么微软收购动视暴雪让英美担忧?
7月3日,微软计划收购动视暴雪的交易得到了南非的无条件批准。至此,微软收购动视暴雪现已获得包括欧盟委员会和中国在内的近40个全球监管机构的批准。 自2022年1月,微软高调宣布以6…
-
安踏李宁叫板耐克阿迪,特步361度全力向上
阿迪达斯和耐克的失速还在继续。 3月8日,阿迪达斯发布2022年第四季度业绩报告,营收52.1亿欧元,仅同比增长1.3%,剔除汇率影响则同比下降1%;更夸张的是,阿迪达斯在大中华区…
-
米哈游该进修「塞学」了
如何让“神作”再往前一步,任天堂的最新作品《塞尔达传说:王国之泪》(以下简称《王国之泪》)给出了答案。 作为《塞尔达传说》主系列的第20作正作,也是《王国之泪》的续作。曾经那片广阔…
-
原神、星铁全球爆发背后,许多人忽视了一个7亿用户的平台
最近,米哈游的《崩坏:星穹铁道》在全球都掀起了不小的波澜——不仅上线5小时即登上国内iOS畅销总榜Top 1,2天内全网总下载量突破2000万,而且点点数据显示,它还曾冲进42个国…
-
为什么说无密码技术是身份认证的未来?
你能想象有一天访问各种应用时,无需再输入复杂密码就能实现各个平台的登录和切换吗?对于经常忘记密码的用户来说,无密码验证可以说是十分省心了。 其实当下无密码技术已经被广泛应用了,包括…
-
2023上半年,折叠屏手机走到了新拐点
一个不证自明的事实是,智能手机市场和产品现在已经非常成熟,绝大部分升级都不会让消费者像以前那样兴奋,甚至踊跃购买。作为一种新的产品形态,折叠屏算是例外。 在不久前结束的 618 大…
-
中国游戏等“春”来
对于游戏行业来说,2023年将是压力依旧的一年,但或许也是转型调优的希望之年。 压力在于,互联网流量见顶,用户付费意愿降低,行业整体进入下行周期,彻底进入存量竞争时代。《2022年…
-
酷暑经济学:综合体加速复苏,饮料品牌“血战”社区超市
今年的端午节,给北京、天津、河北等地的人们最大的感受就是:太热了! 据国家气象部门数据,6月21—24日(跨端午节),北京、天津、河北中南部和东北部最高气温在38—41摄氏度。笔者…
-
快递网点的10年:为什么越智能,越辛苦?
十年高速发展的快递行业,仍在暗流涌动。 2022年全年,中国快递业务量达到1105.8亿件,平均每天要完成3亿件的收发,快递件相比十年前增长了19倍。 为了将日均近3亿件的包裹,赶…