Янв 9 2010
Cпособы обмана адресной строки
Массовые кражи паролей в социальных сетях реализуются с помощью вирусов, которые используют hosts и подменяют страничку авторизации. Существует ещё более изящный метод обмана пользователей:
yandex.ru@%68%61%62%72%61%68%61%62%72%2E%72%75.
Я не всегда бы увидел, что это адрес не поисковика, а ссылка на habr. Фактически мы просто использовали абсолютно правильный формат URL’а (который определён в RFC 1728, см. раздел 3.1):
//
(те. надпись «yandex.ru» выступила в виде логина).
Сам же адрес настоящего логина легко поддаётся кодировке и когда он закодирован в шестнадцатеричном формате, то типичный пользователь вряд-ли будет переводить его в канонический вид. Ещё можно вместо адреса указать IP сервера в нетипичном для глаз виде (уже обсуждалось на хабре) и получить что-то в духе этого:
vkontakte.ru*id@1297618184
И, почему-то, я уверен, что можно подобрать какой-нибудь символ, который внешне будет похожий на знак вопроса…
