首页>安全资讯>浏览器和App的URL来源显示,存在安全风险

浏览器和App的URL来源显示,存在安全风险

我们早些时候解释了“eliding”,这是一种视觉截断长URL以便适应地址栏长度的做法,以及桌面浏览器显示URL和来源的方式。

我们发现许多受欢迎的桌面浏览器在显示URL时都会出现基本错误,在显示URL不良来源和URL处理方面存在可用性和安全性问题,给正在访问站点的用户造成误解。钓鱼网站可以利用这一点来完善它们的骗局,而它们也确实是这么做的。

在移动设备上,屏幕严重受到限制,准确识别起源可能更加困难。我们看了iPhone SE上几个受欢迎的iOS应用,看看它们是如何显示URL,它们是否遵循最佳做法。

我们测试了所有主流的iOS浏览器和主要的社交媒体和通讯应用,展示一下错误显示URL存在的潜在安全风险。我们使用PayPal钓鱼网站测试了所有app。以下是完整的URL(注意这是一个真正的钓鱼网站):

https://paypal.com-update-security-access.acount-customer.info/webapps/

以下记录了究竟有多少应用程序会触发该网址,让您只能看到域名左侧部分(pay域名所在位置),而不是正确清楚的地将来源(原始域名)标识为“account-customer.info”。

许多非浏览器但包含共享链接和内容的,如社交媒体和通讯app,会在本地显示web页面,这很可能是为了创造一个更加无缝和一致的用户体验,但是这些app的UI通常最糟糕。在某些情况下,这些app甚至无法提供最基本的UI,例如确定所有来源或显示HTTPS连接的指示符。

Chrome

总体来说,Chrome的来源显示效果非常好。与其他浏览器相比,在顶部窗格有更多的UI的元素,为地址栏留出了更少的空间。这使得用户更难以轻松识别来源。

paypal钓鱼网站显示1

在具有混合内容(带一些HTTP资源)的HTTPS页面上,显示一个带“i”的灰色圆圈(与桌面相同的图标)。点击图标会告诉您“您与本网站的连接不完全安全”,其他文字清楚地描述了签章的风险。

在HTTP页面上,无法打开“信息页面”窗格

Safari

Safari在顶部窗格中具有较少的UI元素,给他们更多空间显示来源。然而它们对这个空间的使用很差劲。

paypal钓鱼网站显示2

Firefox

Mozilla发布两个iOS-Firefox和Firefox-focus的浏览器,“Focus”内置隐私保护功能和广告屏蔽功能,UI是不同的,但来源的处理几乎相同。

paypal钓鱼网站显示3

Facebook

专用的通讯app显示的起源和主应用程序不同。

paypal钓鱼网站显示4

Instagram

Instagram不允许在直接消息或评论中使用超链接,这使得用户很难直接访问页面。但用户可以在其配置文件中设置一个URL。整个网址将显示在那里,无论大小。

paypal钓鱼网站显示5

Twitter

Twitter以有限的UI显示app内的页面,来源显示在标题栏中,但路径未显示,无法点击地址栏。

paypal钓鱼网站显示6

结论

总的来说,主流iOS app中显示网页的错误之处是一样的,而决定处理app内网址的非浏览器app都无法以安全的方式显示网址。基本错误,如只显示页面标题或缺少任何HTTPS指示符。这些app应该研究最佳做法,而较小的开发团队应考虑放弃app内浏览,通过iOS自带浏览器显示。

沃通观点

HTTPS加密得到普及的“后HTTPS时代”,网站身份认证比加密更重要!HTTPS加密提升了网站数据传输安全,但只有充分利用网站身份信息才能抵御钓鱼网站威胁。

沃通超真SSL Pre和超安SSL Pre证书,严格验证网站真实身份,帮助企业级用户抵御钓鱼网站仿冒的风险,塑造企业网站可信形象,防止终端用户遭遇网络钓鱼或恶意软件的侵害。

沃通SSL证书Pre系列产品支持所有浏览器和各种新老操作系统,支持各种新老移动终端。沃通提供细致的本地化客户服务和专业的一对一技术支持,十余年的证书行业服务经验,帮助用户应对各类复杂应用场景,更加快捷地完成证书部署。

参考来源:国外网站 沃通CA整理 http://www.wosign.com/News/2017-0510-01.htm