给大家介绍一个假的苹果网站，能肉眼看出来算我输！

w153140 火狐狸 UID55463 注册日期2017-02-14 最后登录2024-03-27 发帖数253 经验246枚威望0点贡献值142点好评度15点加关注写私信	阅读：2478回复：14 给大家介绍一个假的苹果网站，能肉眼看出来算我输！楼主^# 更多只看楼主倒序阅读发布于：2017-04-19 16:00 这个漏洞大部分浏览器都已经修复了原文地址：http://www.leiphone.com/news/201704/NyHGnviIh1lMKUCX.html Chrome、火狐以及 Opera三款浏览器中招
	喜欢1 最新喜欢： lord 回复

alanfly 千年狐狸 UID31035 注册日期2009-11-10 最后登录2024-05-19 发帖数2769 经验580枚威望1点贡献值128点好评度102点加关注写私信	1楼^# 发布于：2017-04-19 16:15 无法辨识。
	回复(0) 喜欢(0)

EMLVIRUS 火狐狸 UID53909 注册日期2016-04-26 最后登录2023-01-31 发帖数164 经验184枚威望0点贡献值84点好评度17点加关注写私信	2楼^# 发布于：2017-04-19 16:41 完美伪装？？？逗我呢？？？这分明就是未验证所有人的HTTPS（另见中间人攻击）
	图片：170419_163817.png 图片：170419_163828.png 回复(0) 喜欢(0)

yfdyh000 千年狐狸 UID29079 注册日期2009-06-07 最后登录2022-05-18 发帖数2262 经验1390枚威望0点贡献值52点好评度139点加关注写私信	3楼^# 发布于：2017-04-19 17:18 https://bugzilla.mozilla.org/show_bug.cgi?id=1332714
	回复(0) 喜欢(0)

aaaa007cn

千年狐狸

UID23968
注册日期2008-05-03
最后登录2022-03-07
发帖数1924
经验1138枚
威望1点
贡献值232点
好评度164点

加关注写私信

4楼^#

发布于：2017-04-19 21:10

network.IDN_show_punycode 已经改 true
没压力

How To Ask Questions The Smart Way | 提问的智慧

2 + 2 = 5

回复喜欢

文科千年狐狸 UID39959 注册日期2013-10-17 最后登录2019-07-27 发帖数2069 经验1328枚威望4点贡献值340点好评度256点加关注写私信	5楼^# 发布于：2017-04-19 22:23 挺有趣的，装一个字库小点的字体或许可以分辨了
	回复(0) 喜欢(0)

kmc

管理员

UID165
注册日期2004-11-25
最后登录2022-09-22
发帖数9186
经验397枚
威望1点
贡献值124点
好评度41点

加关注写私信

6楼^#

发布于：2017-04-20 23:21

我不知道改了哪里，我打开的时候地址栏是这样的（然而我的network.IDN_show_punycode是false）

鼠标移上去才显示 https://www.аррӏе.com/
不过作为字体迷一眼还是发现l是有问题的，至于a是没发现

Waterfox Current和Firefox Nightly都用，逐渐走出XUL扩展依赖

回复喜欢

白左

千年狐狸

UID34985
注册日期2010-12-29
最后登录2023-11-13
发帖数2039
经验655枚
威望0点
贡献值364点
好评度69点

加关注写私信

7楼^#

发布于：2017-04-21 21:01

图片：1.png

chrome和fx的地址栏字体不一样……

显然只要浏览器还支持国际化域名，这种钓鱼方法在客户端就只能通过识别证书验证者来区分，对于广大认知仅限于“地址栏左边有个绿锁才是真货”的普通用户来说，只能靠防钓鱼数据库的及时更新了……

雷锋网编辑亲测，目前大部分国产浏览器是不存在该问题的，这是个令人欣喜的消息。

因为功能太烂而逃过一劫，真是……

图片：moren_hashiqi_org.png

话说这个国际化域名现在什么情况，说是标准化了，但是好像几年前起就没声音了，实际上也基本上没遇见过，除了被运营商劫持的时候偶尔会跳转到xn--开头的网址……

-いたんですか？ -ええ、ずっと

回复喜欢

烈之斩火狐狸 UID35302 注册日期2011-02-19 最后登录2021-09-19 发帖数236 经验222枚威望0点贡献值118点好评度23点加关注写私信	8楼^# 发布于：2017-04-28 07:22 Chrome好像没这个问题啊？直接打开就显示https://www.xn--80ak6aa92e.com/
	回复(1) 喜欢(0)

w153140 火狐狸 UID55463 注册日期2017-02-14 最后登录2024-03-27 发帖数253 经验246枚威望0点贡献值142点好评度15点加关注写私信	9楼^# 发布于：2017-04-28 18:16 烈之斩：Chrome好像没这个问题啊？直接打开就显示https://www.xn--80ak6aa92e.com/回到原帖已经修复了
	回复(0) 喜欢(0)

白左

千年狐狸

UID34985
注册日期2010-12-29
最后登录2023-11-13
发帖数2039
经验655枚
威望0点
贡献值364点
好评度69点

加关注写私信

10楼^#

发布于：2017-04-28 18:57

一个想法

图片：2.png

-いたんですか？ -ええ、ずっと

回复(1) 喜欢(1)

yfdyh000 千年狐狸 UID29079 注册日期2009-06-07 最后登录2022-05-18 发帖数2262 经验1390枚威望0点贡献值52点好评度139点加关注写私信	11楼^# 发布于：2017-04-28 19:07 白左：一个想法回到原帖小黄标(i)与安全锁+小三角的图标概念有点类似，用户可能误解或仍忽视。
	回复(1) 喜欢(0)

白左

千年狐狸

UID34985
注册日期2010-12-29
最后登录2023-11-13
发帖数2039
经验655枚
威望0点
贡献值364点
好评度69点

加关注写私信

12楼^#

发布于：2017-04-29 00:41

yfdyh000：小黄标(i)与安全锁+小三角的图标概念有点类似，用户可能误解或仍忽视。回到原帖

我觉得吧……能忽视黄色警告色还带感叹号提示的用户，多半也不会去看地址栏里面的内容（笑
以前地址栏整个变色虽然是蛮浮夸，但是至少挺醒目；乃至后来证书验证者的一大坨全名显示绿色方块，也很浮夸，不知道为什么现在又变得这么低调了( ´･ω･`)

-いたんですか？ -ええ、ずっと

回复(1) 喜欢

yfdyh000

千年狐狸

UID29079
注册日期2009-06-07
最后登录2022-05-18
发帖数2262
经验1390枚
威望0点
贡献值52点
好评度139点

加关注写私信

13楼^#

发布于：2017-04-29 01:36

白左：我觉得吧……能忽视黄色警告色还带感叹号提示的用户，多半也不会去看地址栏里面的内容（笑
以前地址栏整个变色虽然是蛮浮夸，但是至少挺醒目；乃至后来证书验证者的一大坨全名显示绿色方块，也很浮夸，不知道为什么现在又变得这么低调了( ´･ω･`)回到原帖

是想说：1. 警示意义不足、2. 有经验的旧用户会误认为只是混合内容等警告，结果同上。

因为https更普及而不必强调了吧。

回复(1) 喜欢

白左

千年狐狸

UID34985
注册日期2010-12-29
最后登录2023-11-13
发帖数2039
经验655枚
威望0点
贡献值364点
好评度69点

加关注写私信

14楼^#

发布于：2017-04-29 11:08

yfdyh000：是想说：1. 警示意义不足、2. 有经验的旧用户会误认为只是混合内容等警告，结果同上。

因为https更普及而不必强调了吧。回到原帖

我明白你的意思了, 不过图里只是示意, 这样p起来方便... mozilla完全可以用别的提示图标
总感觉警示符号越来越多了, 非https的警告锁, 混合内容的标识, 证书过期的警告, 未验证证书的提示, http密码输入框的窃取警示...普通用户会不会被搞糊涂不清楚, 但是我妈肯定是会被搞糊涂的

-いたんですか？ -ええ、ずっと

回复喜欢

您需要登录后才可以回帖，登录或者注册

给大家介绍一个假的苹果网站，能肉眼看出来算我输！

最新喜欢：