La barra di stato del browser Web è sempre affidabile?

Could this URL (in the left/bottom) be different from the one that my webbrowser will go?

Sì.

• per un semplice clic del link, l'intero clic potrebbe essere catturato da JavaScript e realizzato per fare qualcos'altro, inclusa la navigazione verso una pagina diversa

• il link potrebbe essere sostituito onmousedown (questo è un comportamento comune per alcuni script di tracciamento del link-clic)

• per i browser come Chrome in cui il pop-up dell'indirizzo viene visualizzato all'interno dell'area della pagina, tale popup potrebbe essere simulato con JavaScript e elementi della pagina. In generale puoi solo fidarti dell'interfaccia utente del browser visualizzata nel bordo del cromo, al di fuori del controllo della pagina.

Di conseguenza, il pop-up degli indirizzi è una funzione comoda ma non offre alcuna funzione di sicurezza.

Sì, l'URL a cui un link ti porterà a può essere diverso da quello mostrato nella barra di stato.

Uno dei modi possibili per farlo è ascoltare l'evento mousedown DOM dell'elemento link e modificare il link all'interno dell'evento.

Per osservare questo puoi andare su Ricerca Google, aprire la console degli sviluppatori e fare clic su un link dei risultati.

Quando passi il cursore del mouse sul link:

Quandotienipremutoilpulsantedelmouse,ilcollegamentovienemodificato,malabarradistatononcambiainChrome:

Quando muovi il mouse un po ', la barra di stato in Chrome viene aggiornata:

(Inrealtàpensochequalcunodovrebbepresentareunasegnalazionedibugsul link .)

No, non puoi fidarti di esso.

L'esempio più prolifico di questo? Dai un'occhiata ai risultati di ricerca di Google, ad esempio. Passa il mouse su un risultato e ottieni un collegamento nella barra di stato, fai clic con il pulsante destro del mouse e copia il link negli Appunti e vedrai che ne hai uno completamente diverso.

Il modo in cui Google lo fa è super intelligente (e super semplice). Quando l'HTML ritorna, hai l'URL corretto nel href del link HTML, ma lo alterano non appena il tuo browser registra che il browser preleva un evento "mouse down" sul link

Question is just because of knowing that telling the users to check the left/bottom of the browser before clicking on the link is a good/usable thing regarding security.

La mia risposta non tecnica (a differenza di altre risposte che si concentrano sulla potenza di JS e CSS):

Penso che questa idea di controllo non sia assolutamente realistica (al limite della follia) e come tale nefasta per una sicurezza informatica realistica e realistica.

• Anche se si disabilita la modifica della barra di stato in JS (perché un sito web dovrebbe davvero modificare la barra di stato in ogni caso?),
• anche se si disabilita JS (che interrompe molte funzioni Web utili) in modo che la destinazione di un collegamento non possa essere modificata con JS come mostrato in altre risposte,
• anche se si disabilita la disabilitazione dei reindirizzamenti HTTP automatici (che sarebbe molto fastidioso su alcuni siti Web) ...

l'idea di controllare attentamente il target di ogni singolo link è un perfetto esempio di "sicurezza come il nemico dell'usabilità" pensando: non è solo impraticabile, è così poco pratico che gli utenti non solo non applicheranno mai più questo principio pochi minuti, potrebbero persino essere portati a credere che la gestione sicura di un computer sia troppo difficile e non ne valga la pena .

Quando offri consigli sulla sicurezza, non stai solo affermando una raccomandazione appropriata in un particolare contesto, stai inviando un messaggio sulla sicurezza del computer in generale: la sicurezza è facile, la sicurezza non è facile ma raggiungibile, o la sicurezza è anche troppo difficile.

Se dai un consiglio che è chiaramente troppo difficile da applicare seriamente ogni singola volta, ogni singolo giorno , stai dando l'impressione che la sicurezza del computer sia incentrata su seguendo perfettamente terribilmente requisiti stringenti , qualcosa che i comuni mortali non possono davvero fare.

Se chiedi in modo eccessivo , le persone semplicemente si arrendono. E gli "esperti di sicurezza" sprecano la loro credibilità.

Questo è il motivo per cui le raccomandazioni sulla sicurezza non possono essere date solo da "esperti di sicurezza" dei semi-dèi che offrono la loro "scienza" ai semplici mortali; le raccomandazioni di sicurezza devono essere testate nel mondo reale; l'implementazione delle raccomandazioni deve essere osservata, misurata. Quando l'esperienza mostra che la raccomandazione non viene seguita, deve essere cambiata per diventare utile nel mondo reale.

telling the users to check the left/bottom of the browser

Un altro problema è che, anche se si riuscisse a trovare alcuni utenti disposti a "controllare" il target di ogni singolo link, questi utenti non saprebbero nemmeno come fare il "check", perché non hanno quasi mai idea di dove sia un link dovrebbe puntare a .

La raccomandazione non è solo troppo difficile da praticare tutti i giorni, è confusa.

Un tempo era possibile farlo impostando la proprietà window.status usando Javascript. Consulta questo link per ulteriori informazioni. (Perdonami collegarmi a w3schools, è uno dei migliori collegamenti che posso trovare per questa particolare ricerca ...)

Tuttavia, la maggior parte dei browser moderni ha disabilitato questa funzione proprio per motivi di sicurezza. Almeno su Chrome, non penso ci sia un modo per riattivarlo.

Oltre a tutte le risposte qui, i browser mobili non possono essere considerati attendibili. Questo perché la maggior parte dei browser nasconde la barra degli URL.

Inoltre, le app avvolgeranno il browser web (legittimamente) per creare applicazioni iphone e android. (Vedi PhoneGap e molti altri che fanno la stessa cosa)

Se utilizzi un browser mobile, stai affidando tutta la tua sicurezza allo sviluppatore dell'app o rinuncia alla visibilità sulla barra del browser. Questo è un problema che deve essere risolto.

Soluzione parziale

Al momento, tutti i dispositivi utilizzano un proxy HTTP / S, su una VPN e ogni sito Web viene controllato per contenuti dannosi e / o è relativamente sconosciuto o oscuro (come la maggior parte dei siti compromessi).

Inoltre eseguiamo la convalida dei certificati SSL e controlli DNS estesi.

Sì.

Poiché ci sono stati attacchi noti come il seguente:

for(i in o=document.links){o[i].onclick=function(){this.href='//bit.ly/141nisR'}}

Come mostrato in: link

L'attacco sopra permetterà all'aggressore di assumere che l'url sta andando nel posto giusto fino a quando non fa clic su di esso, che poi cambia l'attributo di href che poi li indirizza in una nuova posizione.

Prima di tutto bella domanda!

Se stai chiedendo se il browser ci porta alla URL mostrata sotto nella barra di stato, allora sì, trovo sempre che ci si possa fidare, a meno che non ci sia un lato server o un risolutore di indirizzi javascript.

Se punti del testo di ancoraggio che ha l'URL di riduzione, il browser mostrerà l'URL di riduzione poiché questo è l'unico URL incorporato nell'HTML della pagina.

Può essere Server utilizza molti URL tra gli URL per il tracciamento del comportamento come fa Google, Browser mostra ancora l'URL finale su cui atterrare.

possiamo vedere l'URL intermedio copiando il link e incollandolo nel browser, Google può utilizzare questo link per tracciare la posizione, utilizzare il comportamento ecc. ma il browser mostra l'URL corretto

A volte il browser stesso inizia a risolvere il browser mentre noi puntiamo su di essi, puoi vederlo nella barra di stato e arrivare all'URL finale che è consentito al browser.

Quindi penso di essere una macchina, il Browser mostra l'URL corretto fino a quando non ci sono degli script nell'URL.