Опять Гугл всё сломал
В мае Гугл запустил новый домен первого уровня
Заметили подставу? А если бы вам не сказали, что в ссылке есть проблема?
Переход по такой ссылке направит нас на
А чтобы жизнь была ещё веселей, Гугл добавил TLD
Подробнее о проблеме и вариантах атак: https://medium.com/@bobbyrsec/the-dangers-of-googles-zip-tld-5e1e675e59a5
UPD
В фишинговой ссылке из примера используется два хака: символ @ и «другой» слеш ∕ (U+2215)
В мае Гугл запустил новый домен первого уровня
.zip и неплохо так насолил безопасникам. Дело в том, что браузеру тоже можно скормить урл с userinfo частью (<протокол>//<userinfo>@<домен>), а значит, можно подсунуть пользователю адрес вида https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1.27.1.zip.
Заметили подставу? А если бы вам не сказали, что в ссылке есть проблема?
Переход по такой ссылке направит нас на
v1.27.1.zip. Более того, собачку в адресе можно скрыть в интерфейсе, уменьшив шрифт.
А чтобы жизнь была ещё веселей, Гугл добавил TLD
.mov. А мессенджеры превратили это в ссылки. Так и живём.Подробнее о проблеме и вариантах атак: https://medium.com/@bobbyrsec/the-dangers-of-googles-zip-tld-5e1e675e59a5
UPD
В фишинговой ссылке из примера используется два хака: символ @ и «другой» слеш ∕ (U+2215)