浏览器和App的URL来源显示,存在安全风险
发布日期:2017-05-10我们早些时候解释了“eliding”,这是一种视觉截断长URL以便适应地址栏长度的做法,以及桌面浏览器显示URL和来源的方式。
我们发现许多受欢迎的桌面浏览器在显示URL时都会出现基本错误,在显示URL不良来源和URL处理方面存在可用性和安全性问题,给正在访问站点的用户造成误解。钓鱼网站可以利用这一点来完善它们的骗局,而它们也确实是这么做的。
在移动设备上,屏幕严重受到限制,准确识别起源可能更加困难。我们看了iPhone SE上几个受欢迎的iOS应用,看看它们是如何显示URL,它们是否遵循最佳做法。
我们测试了所有主流的iOS浏览器和主要的社交媒体和通讯应用,展示一下错误显示URL存在的潜在安全风险。我们使用PayPal钓鱼网站测试了所有app。以下是完整的URL(注意这是一个真正的钓鱼网站):
https://paypal.com-update-security-access.acount-customer.info/webapps/
以下记录了究竟有多少应用程序会触发该网址,让您只能看到域名左侧部分(pay域名所在位置),而不是正确清楚的地将来源(原始域名)标识为“account-customer.info”。
许多非浏览器但包含共享链接和内容的,如社交媒体和通讯app,会在本地显示web页面,这很可能是为了创造一个更加无缝和一致的用户体验,但是这些app的UI通常最糟糕。在某些情况下,这些app甚至无法提供最基本的UI,例如确定所有来源或显示HTTPS连接的指示符。
Chrome
总体来说,Chrome的来源显示效果非常好。与其他浏览器相比,在顶部窗格有更多的UI的元素,为地址栏留出了更少的空间。这使得用户更难以轻松识别来源。
- URL从左边截断(正确)
- 点击地址栏将光标发送到URL末尾(正确)
- HTTPS页面显示绿色挂锁图标,HTTPS协议也显示绿色,但在此屏幕上几乎不可见。(正确)
- 点击挂锁图标打开“页面信息”窗格,显示来源。这可以使您更容易地确定您所在的网站。但是该功能可以在目前得到改进,截断原点。(正确)
在具有混合内容(带一些HTTP资源)的HTTPS页面上,显示一个带“i”的灰色圆圈(与桌面相同的图标)。点击图标会告诉您“您与本网站的连接不完全安全”,其他文字清楚地描述了签章的风险。
在HTTP页面上,无法打开“信息页面”窗格
Safari
Safari在顶部窗格中具有较少的UI元素,给他们更多空间显示来源。然而它们对这个空间的使用很差劲。
- URL从右边截断(错误)
- 点击地址栏将光标发送URL左侧,这会使其不正确的风险加剧。(错误)
- 当地址栏没有主动对焦时,路径和查询字符串将被删除,这使得更容易识别来源HTTPS页面用黑色挂锁图标表示 。(正确)
- 对于具有EV证书的站点,公司名称完全替代地址栏中的URL(直接主动对焦),文本显示绿色。(正确)
Firefox
Mozilla发布两个iOS-Firefox和Firefox-focus的浏览器,“Focus”内置隐私保护功能和广告屏蔽功能,UI是不同的,但来源的处理几乎相同。
- URL从右边截断(错误)
- 点击地址栏将光标发送到URL右侧(正确)
- HTTPS页面以绿色挂锁图标表示(正确)
- 子域名显示为较浅的颜色,可以更容易区分来源。但是由于长子域名可以轻松地覆盖整个地址栏,因此对比度可能不明显。此功能也存在于桌面的Firefox中。(正确)
专用的通讯app显示的起源和主应用程序不同。
- 显示页面标题而不是URL。这使得钓鱼非常容易,因为标题不是唯一的。但是URL会在消息线程中完整显示。这样可以在用户点击URL之前对其进行良好的了解。(错误)
- 没有用于区分HTTP和HTTPS的指示符。(错误)
Instagram不允许在直接消息或评论中使用超链接,这使得用户很难直接访问页面。但用户可以在其配置文件中设置一个URL。整个网址将显示在那里,无论大小。
- URL从右边截断。(错误)
- 页面标题以黑色突出显示,下面的URL以较小和较轻的字体显示。 这样会导致不正确的视觉截断。(错误)
- 没有HTTPS页面的指示符。(错误)
Twitter以有限的UI显示app内的页面,来源显示在标题栏中,但路径未显示,无法点击地址栏。
- 来源在中间被截断,这比从右边截断要好,但仍可能会被钓鱼网站滥用。(错误)
- HTTPS页面用黑色挂锁表示。(正确)
结论
总的来说,主流iOS app中显示网页的错误之处是一样的,而决定处理app内网址的非浏览器app都无法以安全的方式显示网址。基本错误,如只显示页面标题或缺少任何HTTPS指示符。这些app应该研究最佳做法,而较小的开发团队应考虑放弃app内浏览,通过iOS自带浏览器显示。
沃通观点
HTTPS加密得到普及的“后HTTPS时代”,网站身份认证比加密更重要!HTTPS加密提升了网站数据传输安全,但只有充分利用网站身份信息才能抵御钓鱼网站威胁。
沃通超真SSL Pre和超安SSL Pre证书,严格验证网站真实身份,帮助企业级用户抵御钓鱼网站仿冒的风险,塑造企业网站可信形象,防止终端用户遭遇网络钓鱼或恶意软件的侵害。
沃通SSL证书Pre系列产品支持所有浏览器和各种新老操作系统,支持各种新老移动终端。沃通提供细致的本地化客户服务和专业的一对一技术支持,十余年的证书行业服务经验,帮助用户应对各类复杂应用场景,更加快捷地完成证书部署。
参考来源:国外网站 沃通CA整理 http://www.wosign.com/News/2017-0510-01.htm