Comments 41
По работе много приходится отвечать на звонки. Так вот, люди вообще не представляют, что такое адресная строка. Если просишь назвать адрес сайта, то как правило отвечают то, что набрали в поисковике. А адресную строку браузера просто не видят. Может это какая-нибудь баннерная слепота?
Подтверждаю. Работая в техподдержке был очень удивлен, сколько времени уходит на попытку узнать что написано в адресной строке и объяснение где она.
UFO just landed and posted this here
в файрфоксе 39 не работает.
Chrome address spoofing vulnerability proof-of-concept for HTTPS
Так вот, люди вообще не представляют, что такое адресная строка. Если просишь назвать адрес сайта, то как правило отвечают то, что набрали в поисковике. А адресную строку браузера просто не видят. Может это какая-нибудь баннерная слепота?Мы вот сейчас не вспомним, но какой-то из современных браузеров (возможно не один) после «чистой установки» по умолчанию не показывает адресную строку, ее просто физически нет в интерфейсе. Открывается домашняя страничка, поисковик там, последние просмотренные вкладки, но адресной строки нет.
Включается легко — в менюшке галочкой, но это надо именно включить. Так что… не баннерная слепота и не тупость пользователя, а просто дефолтные настройки производителей софта.
Просто разработчики современных браузеров считают, что пользователям знать адрес необязательно и уменьшают адресную строку, маскируют, забивают кнопками, вставляют туда заголовок страницы, объединяют ее с поисковой строкой и т. д.
А можно пример этой самой ошибки? Или ссылку на баг-репорт?
Это опасно только для не опытных пользователейКак раз неопытным пользователям все равно на URL. Для них это набор символов.
Кажется это действительно не очень важно. Я вижу два варианта:
1) пользователь не очень внимательный, и тогда его пароль проще украсть с помощью ondoklanisski.ru или аналога (кстати домен свободен).
2) пользователь внимательный и проверяет урл перед вводом пароля. Тогда для него пустая адресная строка это даже лучше, потому что тут уж сразу понятно что это фишинг, даже зрение не надо напрягать.
1) пользователь не очень внимательный, и тогда его пароль проще украсть с помощью ondoklanisski.ru или аналога (кстати домен свободен).
2) пользователь внимательный и проверяет урл перед вводом пароля. Тогда для него пустая адресная строка это даже лучше, потому что тут уж сразу понятно что это фишинг, даже зрение не надо напрягать.
А если адресная строка полностью совпадает, включая https? пример.
В последнее время, важно чтобы был указан домен, на котором находится пользователь, потому что внутрисайтовая навигация в последнее время может не соответствовать текущей реальной странице (при перезагрузке страницы пользователь может оказаться не на той странице, где он был). Уже даже встречал сайты, что текущая страница хранилась в localStorage, а не в URL.
То-есть главное, чтобы нельзя было подменить домен (что мозилла блокирует вроде).
То-есть главное, чтобы нельзя было подменить домен (что мозилла блокирует вроде).
можно ли вписать адрес другого сайта?
как он работает с HTTPS?
как он работает с HTTPS?
Фишинг подразумевает, что человек думает, что находится на одном сайте с пустой строкой вместо URL, а на самом деле на другом сайте с пустой строкой вместо URL. Но тот человек, который смотрит на URL, скорее всего вообще не будет пользоваться сайтом, где URL не видно, вне зависимости от того, настоящий он или фишинговый. Даже если это и не баг вашего кода, я бы посоветовал поменять ваш код, чтобы он работал по-другому и не очищал URL.
Прочитав заголовок, я было подумал, что речь идет об адресной строке браузера. Она нужна хотя бы для тех, кто ей пользуется. А в контексте статьи считаю так — это вызывает подозрение.
Прочитав заголовок, я было подумал, что речь идет об адресной строке браузера. Она нужна хотя бы для тех, кто ей пользуется. А в контексте статьи считаю так — это вызывает подозрение.
Фишинг подразумевает, что человек находится на сайте например vk.com, я ему скидываю ссылку «Смотри какое фото!!!)))» через открытый редирект «vk.com/away.php?to=(наш сайт)#.jpg» перенаправляю на сайт фальшивку "(наш сайт)#.jpg", которая один в один главная страница сайта «vk.com» но он не видит куда его перекинуло, из-за вышеописанной ошибки, и думает, что его выкинуло. Быстро вводит свой логин и пароль (чтобы написать, какой я не хороший человек) и я его отправляю назад на его страницу. Он ничего даже не подозревает, а пароль уже у меня. (Это ситуация образная, для ознакомления и не является инструкцией к применению)
Ну а как это противоречит моему комменту?) Он не «не видит куда его перекинуло», а видит, что он перешел по ссылке, и URL исчез. Лично я вообще ни разу не сталкивался с такой ситуацией, и подумал бы, что у меня браузер глючит. Поэтому закрыл бы вкладку или вообще перезапустил браузер. В данной ситуации для меня нет разницы, написано в адресной строке «vk.som» или там пусто. Это выглядит странно, и лучше не продолжать.
+1. Не все ожидают переброса от ссылок вида vk.com/photo226876135_346722711&z=/%2e%2e/%61%77%61%79%2e%70%68%70?%74%6f=%68%74%74%70%3a%2f%2f%79%61%2e%72%75
Ещё забыл описать, когда грузится страница крутится индикатор загрузки страницы (сверху во вкладке), что вызывает ощущение подтормаживания самого браузера. То есть возникает ложное чувство, что он сейчас загрузится и выведет URL, чего не происходит.
Таково, к сожалению, большинство обычных пользователей: как в интернете, так и в реальной жизни не станут обращать внимание на нечто, пока оно не вылезет из экрана и не ударит их по лицу.
Некоторые даже и этого могут не заметить — видео с котиками — они такие опасные.
А все потому что основам грамотности в ИТ сфере нигде не учат.
У меня вот у ребенка информатика с учебником времен моего детства — все тот же офис дай бог памяти 2003, и надо думать как его учить мимо школьной программы, благо бешеных птичек ребенок их освоил получше меня с женой.
А все потому что основам грамотности в ИТ сфере нигде не учат.
У меня вот у ребенка информатика с учебником времен моего детства — все тот же офис дай бог памяти 2003, и надо думать как его учить мимо школьной программы, благо бешеных птичек ребенок их освоил получше меня с женой.
Всегда смотрю на адресную строку, предпочитаю ЧПУ, и меня раздражает, что современные браузеры её прячут, показывая вместо неё то домен, то поисковый запрос.
Думаю, большинству пользователей всё равно, видно ли адресную строку, и что в ней находится — для них это ненужная, техническая, не несущая полезной нагрузки информация.
Опасно ли?
Явные баги, типа отображения чужого домена, все браузеры исправляют довольно быстро, а неверный адрес в пределах своего домена особой опасности не несёт.
Кто проверяет содержимое адресной строки при важных операциях, тем не опасно, а остальным от этого ни холодно, ни жарко, и опасности не добавляет.
Думаю, большинству пользователей всё равно, видно ли адресную строку, и что в ней находится — для них это ненужная, техническая, не несущая полезной нагрузки информация.
Опасно ли?
Явные баги, типа отображения чужого домена, все браузеры исправляют довольно быстро, а неверный адрес в пределах своего домена особой опасности не несёт.
Кто проверяет содержимое адресной строки при важных операциях, тем не опасно, а остальным от этого ни холодно, ни жарко, и опасности не добавляет.
Вероятно, в строке адресса в основном окне это будет подозрительно, но менее подозрительно чем совсем левый домен, самое опасное — попапы с авторизацией, к ним не на столько привык глаз.
По идее это на совести браузера. Как например Яндекс скрывает урл, подменяя его на тайтл, но при фокусе — делает видимым. Но конечно скрывать полностью это как у прохожего взять 100 рублей на полчаса…
Практика показывает, что рядовым пользователям абсолютно все равно какой адрес у сайта, они на него через поисковик заходят. Это может использоваться в социнженерии.
URL сайта полезен только если его надо куда-нибудь скопировать, поделиться ссылкой. Гораздо важнее видеть URL ссылки, по которой хочешь перейти.
goo.gl?
Задумаюсь, переходить, или нет. Зависит от общей репутации опубликовавшего её ресурса/пользователя.
Я, кстати, не перейду. Не доверяю всяким сокращалкам ссылкок. Доподлинно не известно, что там под краткой записью лежит на самом деле.
Другая краткая ссылка.
Можно безопасно выяснить с помощью www.checkshorturl.com или longurl.org
Почему никто не вспомнил, зачем вообще URL, даже в строке которая не отображается в браузере?!
Я хочу поставить закладку на внутреннюю страницу, мне параллельно на сколько динамически она сформировалась.
Я хочу через год по ней ткнуть и увидеть страницу в том самом виде, все необходимое для этого должно быть в URL.
Сайты которые мне отказывают в этом умножают скопище интернет мусора.
Я хочу поставить закладку на внутреннюю страницу, мне параллельно на сколько динамически она сформировалась.
Я хочу через год по ней ткнуть и увидеть страницу в том самом виде, все необходимое для этого должно быть в URL.
Сайты которые мне отказывают в этом умножают скопище интернет мусора.
Не хватает варианта — «я просто хочу видеть всегда URL».
Вот за что мне нравится браузер Opera: за то, что он «из коробки» позволяет запрещать многие подозрительные действия скриптов.
Вот, можно оформить страницу так, чтобы в адресной строке был «about:blank». Ссылка на баг репорт: bugzilla.mozilla.org/show_bug.cgi?id=837791
Sign up to leave a comment.
Насколько важно видеть URL сайта?