4006-555-883

遏制钓鱼者的URL,Chrome考虑用限制data: URLs功能

发布时间:2017-02-14 15:32:00

  Chrome正在考虑限制data: URLs的功能,用来遏制钓鱼者的URL方案的非正常使用。


  "Data:" 是一个URL方案,类似于大多数用户更为熟悉的"HTTP:"以及"tel:"。其中每一个都具有独特的功能。“Data:”的功能是使URL的自身包含一定的数据。


  一种合法使用data:URL的方法是减少HTTP的请求数,这需要网站在浏览器上提供或显示动态生成的内容。然而,网络钓鱼者通常把data: URL用于他们的恶意活动。


  究竟是什么使得data: URL这么有效的?它可以把网页重定向到钓鱼网页,或是通过链接打开并显示为单独的页面。同时,它们还可以规避和过滤某些检测方法。


  Chrome正在考虑删除所有data: URL的顶级框架导航,用以阻止所提到的途径。顶层框架导航指的是在主浏览器窗口中出现的任何东西,而不仅指在页面中的内容。这就意味着一旦框架导航形成了data: URL,浏览器会忽略HTML 链接和类似于window.open和window.location的JavaScript功能。

遏制钓鱼者的URL,Chrome考虑用限制data: URLs功能

  一个将data: URL用于钓鱼式攻击以假冒Google Drive网站的案例。该案例由NetCraft授权提供

遏制钓鱼者的URL,Chrome考虑用限制data: URLs功能

  这将意味着打开data: URL的唯一方法是直接将网址键入或粘贴进地址栏。根据这一建议,Chrome的工程师指出,微软的Internet Explorer和Edge浏览器已经阻止了所有顶层框架导航到data: URL。


  想要继续使用data: URL的网站需要通过iframe将其嵌入页面或作为资源来加载,而不是作为自己的页面。


  在Chrome 56的一个补丁中,Chrome已经做出了对所有data: URL标记为“不安全”的决定。对含有密码/信用卡域的HTTP页面也是这样处理的。


Data:的危险性


  HTTP的URL是一个指向数据的路径,而data: URL则是数据本身。可以这样理解,一个data: URL其实可以是一个钓鱼网站。这里给出一个非常简单的data: URL实例:


  data:text/html, This is a data URL!  
  如果你把它粘贴到你的地址栏,它会显示一个页面,上面写着“This is a data URL!”


  这看起来好像并不怎么危险啊?(问号脸)


  Data: URL可以包含任何的HTML,图像,和其他类型的数据。你甚至可以嵌入加载外部文件的脚本标签。Data: URL也可以使用编码来掩盖他们的所作所为。胡乱堆砌的字母和数字可能看起来并不合适,因此它还可以和其他策略结合,从而成功掩饰自己。


  攻击者可以用空字符来打包一个data URL,以“隐藏”真实的URL。Matthew Bryant 制作了一个演示,他建立了一个data URL来模仿Yahoo.com。尽管这一布局并不完美,但拿它来演示data URL如何成为一个有效的网络钓鱼工具,却是再好不过了。

遏制钓鱼者的URL,Chrome考虑用限制data: URLs功能

  你在上面的截图中没有看到的是,URL远远超过了地址栏的末尾,在那里隐藏了一个恶意加载的脚本标签。

  Chrome的工程师注意到在过去的28天里,data: URL占据所有顶层框架导航的0.05%。这一数据可能看起来很小,但对于一个正在被考虑移除的功能来说却是一个相当大的百分比。然而,考虑到网络钓鱼的案件和投诉的绝对数量,其危险已经超过了可接受的程度。


  在Chrome做出修改之前,他们通常以“意图”的形式征求其他谷歌工程师和公众的意见。到目前为止,这一行为获得了多个工程师的支持,使得导航到data: URL受到限制。然而,如果这会破坏相当大比例的网站的话,他们最终可能并不会做出改变。

关键词:Chrome,Chrome 56,data:URL,HTTPS,安全漏洞,钓鱼网站


最新发布
1
研究机构对2023年网络安全趋势的三大预测
2
安全为宗,合规为镜|写在《中华人民共和国密码法》施行三周年之际
3
“安满周”开始啦!守护网络信息安全,一定少不了TA
4
国家能源局发布《电力行业网络安全管理办法》,国密算法证书应用迎来快速增长期
5
明年5月1日实施!这项国家标准直指关键信息基础设施安全……
6
全国多地依据《反电信网络诈骗法》实施处罚,如何防诈骗保安全?
7
跟随党的思想指引 共筑网络安全防线
8
Really?这几个行业最容易遭受网络攻击
9
1000元京东E卡+巨多超值豪礼,天威诚信SSL证书双重劲爆优惠来袭,冲鸭!
10
“羊了个羊”火遍全网,警方发布紧急提醒……
相关推荐
全国多地依据《反电信网络诈骗法》实施处罚,如何防诈骗保安全?
银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫
“羊了个羊”火遍全网,警方发布紧急提醒……
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
聚焦“国家网络安全宣传周”,部署SSL证书筑牢企业网站安全底线
1000元京东E卡+巨多超值豪礼,天威诚信SSL证书双重劲爆优惠来袭,冲鸭!
上海6家单位被通报整改,企业不可不重视之网络安全防护责任
国家能源局发布《电力行业网络安全管理办法》,国密算法证书应用迎来快速增长期
研究机构对2023年网络安全趋势的三大预测
5年损失超430亿美元!你的电子邮件系统还安全吗?