V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Aliencn
V2EX  ›  分享发现

给你介绍一个假的苹果网站,能肉眼看出来算我输

  •  1
     
  •   Aliencn · 2017-04-19 17:44:37 +08:00 · 11978 次点击
    这是一个创建于 2782 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2017-04-20 10:30:25 +08:00
    看到大家的反馈 chrome 58.0.3029.81 已经修复了此问题。
    大家赶紧升级吧
    如果你还想体验这个 bug 的话,可以使用 btsync 下载到旧版 chrome 。
    BTsync 只读密钥: BJZ7EUXS7B5NG2KMIU3HUQ4KYYKBMN74E
    相关贴子: https://www.v2ex.com/t/349136
    80 条回复    2017-04-22 14:04:08 +08:00
    Aliencn
        1
    Aliencn  
    OP
       2017-04-19 17:45:51 +08:00
    win10 系统
    在 chrome 下肉眼没看出来,在火狐下能看出域名有点问题。
    xvx
        2
    xvx  
       2017-04-19 17:46:58 +08:00
    firefox:

    Hey there!

    This may or may not be the site you are looking for! This site is obviously not affiliated with Apple, but rather a demonstration of a flaw in the way unicode domains are handled in browsers.
    Mutoo
        3
    Mutoo  
       2017-04-19 17:47:35 +08:00
    666, punycode 欺骗 https://www.xn--80ak6aa92e.com/
    imlonghao673
        4
    imlonghao673  
       2017-04-19 17:48:09 +08:00 via Android
    https://ooo.0o0.ooo/2017/04/19/58f7324ce96d6.png
    imcocc
        5
    imcocc  
       2017-04-19 17:48:19 +08:00 via Android
    https://www.xn--80ak6aa92e.com/
    网址是这个
    这漏洞好严重!
    tracedocting
        6
    tracedocting  
       2017-04-19 17:48:37 +08:00 via iPhone


    ios 下 Safari 能看得出来……
    chust
        7
    chust  
       2017-04-19 17:48:41 +08:00 via Android
    @xvx 这是网页内容,不是 Firefox 的提示。。。
    jy02201949
        8
    jy02201949  
       2017-04-19 17:49:52 +08:00 via iPhone
    http://i.imgur.com/AOjmUkC

    在 iphone 上看那个 l 字母短了一截
    zts1993
        9
    zts1993  
       2017-04-19 17:51:31 +08:00
    复制到微信 windows 发出去。。
    xvx
        10
    xvx  
       2017-04-19 17:53:45 +08:00
    @chust 确实,不改字体看不出来……
    ProjectAmber
        11
    ProjectAmber  
       2017-04-19 17:55:42 +08:00
    Chrome 57.0.2987.133 on Windows 10 ,一眼就能看出来 apple 的字体不对。
    这个倒是看不出来: https://www.xn--e1awd7f.com
    mgna17
        12
    mgna17  
       2017-04-19 17:56:23 +08:00
    i.imgur.com/HDEmnVf.png

    Droid Sans Fallback 😂
    xspoco
        13
    xspoco  
       2017-04-19 18:04:54 +08:00
    https://www.v2ex.com/t/355174

    这不是前几天说过了
    hicdn
        14
    hicdn  
       2017-04-19 18:29:29 +08:00
    cbais7890
        15
    cbais7890  
       2017-04-19 18:59:04 +08:00
    @tracedocting Mac 下 Safari 效果也是这样
    wly19960911
        16
    wly19960911  
       2017-04-19 19:05:41 +08:00
    前几天说了+1
    zscself
        17
    zscself  
       2017-04-19 19:07:06 +08:00
    前几天说了++1
    doubleflower
        18
    doubleflower  
       2017-04-19 19:21:13 +08:00
    网址里没有 L 就完美 了,比如


    http://www.арр.com/
    http://www.app.com/

    表面完全一样。
    lazycat
        19
    lazycat  
       2017-04-19 19:37:13 +08:00
    Chrome 59 dev
    表示在 v2 不是第一次看到这种帖子了。。。
    然而地址栏就是 https://www.xn--80ak6aa92e.com/ 这个样子的啊(
    zhihaofans
        20
    zhihaofans  
       2017-04-19 19:40:10 +08:00 via iPhone
    https://ooo.0o0.ooo/2017/04/19/58f74c8abe7c2.png
    UnisandK
        21
    UnisandK  
       2017-04-19 19:49:48 +08:00
    firefox , 10.10 ,那个 l 太明显了
    seeker
        22
    seeker  
       2017-04-19 20:01:16 +08:00
    Mac 一眼看出来了。前几天说了。
    Showfom
        23
    Showfom  
       2017-04-19 20:17:13 +08:00
    这哪里算漏洞。。。。 IDN 刚出来的时候就有这么做的了 只是 Firefox Chrome Opera 非要用 IDN 显示在地址栏
    whitefable
        24
    whitefable  
       2017-04-19 20:24:40 +08:00
    其实这个字体一下还比较明显.........反而前几天说的那个 epic 的倒是难看出来=.=
    yangff
        25
    yangff  
       2017-04-19 20:39:01 +08:00


    星际选手是看不出来的
    sobigfish
        26
    sobigfish  
       2017-04-19 20:48:10 +08:00
    看见过 punycode 的假 ccb.com
    给建行的 webmaster 发信 没有反馈。某安全中心也没有后续
    cskeleton
        27
    cskeleton  
       2017-04-19 20:59:19 +08:00
    Chrome 打开 Apple 官网写的 Apple Inc. [US],不是写的 Secure 。

    @tracedocting Mac Chrome 看这个帖子也能看出字体不一样,但是在浏览器地址栏,几乎看起来是一样的。
    billlee
        28
    billlee  
       2017-04-19 20:59:46 +08:00
    我的 Firefox 上显示出来的是衬线体的小写 L, 正常情况下是无衬线体,一眼看上去觉得不对劲,但不知道是哪里有问题
    wavingclear
        29
    wavingclear  
       2017-04-19 21:29:19 +08:00
    随后该域名被国内黑产以七位数收购
    geelaw
        30
    geelaw  
       2017-04-19 21:30:43 +08:00
    你们都没看见前几天的 epic 么……其实 epic 那个也是很旧的事情了
    liyvhg
        31
    liyvhg  
       2017-04-19 21:33:26 +08:00 via Android
    @geelaw 难怪注册 Tencent , alibaba , Facebook 都说有人注册了😂
    wdlth
        32
    wdlth  
       2017-04-19 22:14:06 +08:00
    非赛门铁克 EVSSL 请勿访问
    starship
        33
    starship  
       2017-04-19 23:06:36 +08:00
    bukip
        34
    bukip  
       2017-04-19 23:25:55 +08:00
    所有 xn-*.com 统统禁掉!
    longaiwp
        35
    longaiwp  
       2017-04-19 23:40:28 +08:00
    @yangff 显然 Chrome56 并没有这样的事情,默认情况下只有 Edge 是显示成编码模式,并且告诉你用了什么字符集和母语样式
    yangff
        36
    yangff  
       2017-04-20 00:08:07 +08:00
    @longaiwp chrome 已经 60 了
    KirkZheng
        37
    KirkZheng  
       2017-04-20 00:49:29 +08:00 via Android
    明显空格就不对
    lrxiao
        38
    lrxiao  
       2017-04-20 01:24:20 +08:00
    前几天不刚说了 epic
    西里尔文真糟啊
    dynaguy
        39
    dynaguy  
       2017-04-20 01:36:55 +08:00
    我把樓主的鏈接 email 給自己,結果:
    MailScanner has detected a possible fraud attempt from "www.аÑ_BAD_Ñ_BAD_Ó_BAD_е.com" claiming to be https://www.аррӏе.com/
    dynaguy
        40
    dynaguy  
       2017-04-20 01:38:49 +08:00
    同時測試了 Vivalda, 直接顯示了 www.xn--80ak6aa92e.com
    msg7086
        41
    msg7086  
       2017-04-20 06:05:27 +08:00
    @dynaguy Vivaldi 没这 Bug 。
    SingeeKing
        42
    SingeeKing  
       2017-04-20 06:26:02 +08:00
    不是 EV 证书,下一个
    Perry
        43
    Perry  
       2017-04-20 06:39:32 +08:00
    macOS Chrome 也变短了
    murmur
        44
    murmur  
       2017-04-20 08:01:16 +08:00
    IE 的又一次大胜利
    zdnet
        45
    zdnet  
       2017-04-20 08:24:06 +08:00
    Win10 Edge 下非常明显。
    foreverplay
        46
    foreverplay  
       2017-04-20 08:39:09 +08:00
    deepin 下 chrome 的 L 是带尾巴的,类似手写体
    Tink
        47
    Tink  
       2017-04-20 08:53:05 +08:00
    Hey there!

    This may or may not be the site you are looking for! This site is obviously not affiliated with Apple, but rather a demonstration of a flaw in the way unicode domains are handled in browsers.

    See what this is about
    cnZary
        48
    cnZary  
       2017-04-20 09:00:55 +08:00
    https://ooo.0o0.ooo/2017/04/20/58f8082d4d6f5.png
    goodryb
        49
    goodryb  
       2017-04-20 09:21:39 +08:00
    ![]( )
    肉眼可见
    maojy1989
        50
    maojy1989  
       2017-04-20 09:27:26 +08:00
    l 短了好大一截,一眼就看出来了
    zcwlwen
        51
    zcwlwen  
       2017-04-20 09:28:11 +08:00
    ProjectAmber
        53
    ProjectAmber  
       2017-04-20 09:29:59 +08:00   ❤️ 1
    Chrome 58.0.3029.81 ,已修复。
    maemolee
        54
    maemolee  
       2017-04-20 09:32:02 +08:00


    突然觉得 safari 巨安全
    bozong
        55
    bozong  
       2017-04-20 09:37:18 +08:00   ❤️ 1
    修复了
    ajan
        56
    ajan  
       2017-04-20 09:47:07 +08:00   ❤️ 1
    Chrome v58 修复了这个 bug, 但是 中文域名 就玩不了啦,哈哈哈~~
    6oML852dJf9Kn2l7
        57
    6oML852dJf9Kn2l7  
       2017-04-20 09:48:37 +08:00
    看不出来算我输

    baizhebz
        58
    baizhebz  
       2017-04-20 10:07:59 +08:00   ❤️ 1
    刚更新了 Chrome58..没这问题了
    fangdingjun
        59
    fangdingjun  
       2017-04-20 10:10:14 +08:00
    debian 9 chrome 57 地址栏 e 前面那个字母看起来像大写字母 i , 还是很明显的
    ooTwToo
        60
    ooTwToo  
       2017-04-20 10:14:41 +08:00
    @g5hdyd 原文链接!
    asen1987
        61
    asen1987  
       2017-04-20 10:18:21 +08:00   ❤️ 1
    WIN7 64bit
    chrome 58 已经修复,直接显示 xn--80ak6aa92e
    skylancer
        62
    skylancer  
       2017-04-20 10:32:59 +08:00   ❤️ 1
    Chrome 今天更新的 58 修复了
    应该是今天更新的,我昨天才重装的系统下的 Chrome
    xman99
        63
    xman99  
       2017-04-20 10:47:16 +08:00
    chrome 57 本来看不出这个问题, 58 更新之后 显示的 url 正常了,,,
    lixueliu
        64
    lixueliu  
       2017-04-20 10:55:02 +08:00
    @doubleflower 这个当真看不出来
    bozong
        65
    bozong  
       2017-04-20 11:31:31 +08:00
    12
    bozong
        66
    bozong  
       2017-04-20 11:31:43 +08:00
    都修复了
    Mitt
        67
    Mitt  
       2017-04-20 12:36:41 +08:00
    @maemolee 对比各大浏览器支持特性来看 Safari 也许是因为过于落后所以躲过了一劫。。。。
    sephinh
        68
    sephinh  
       2017-04-20 12:41:06 +08:00 via Android
    android , via 直接显示真实网址…… chrome 上域名字体间距过大,看着很明显啊
    hjc4869
        69
    hjc4869  
       2017-04-20 12:42:36 +08:00 via Android
    @Mitt 并不是, Safari 和 IE/Edge 只显示本语言的 IDN
    Mitt
        70
    Mitt  
       2017-04-20 12:45:26 +08:00
    @hjc4869 然而恰巧这俩浏览器也是行业内比较差的两款浏览器(目前) 特别是 Safari 除了省电一点好处没有
    sleeprottenbanan
        71
    sleeprottenbanan  
       2017-04-20 13:11:11 +08:00
    推荐谷歌插件 Real Domain Name ,这个插件就是用来区别这种网址的,会自动提醒你
    imherer
        72
    imherer  
       2017-04-20 13:24:38 +08:00
    666
    Phariel
        73
    Phariel  
       2017-04-20 13:29:35 +08:00
    我看了这贴,才知道 chrome 出 58 了。果然自动更新以后再访问也开始弹提示了,这问题修掉了。
    liberize
        74
    liberize  
       2017-04-20 14:17:27 +08:00
    @doubleflower 有 l 也没关系,因为这种字符可以和 ascii 字符混用,比如 https://www.аррlе.com/
    doubleflower
        75
    doubleflower  
       2017-04-20 16:40:32 +08:00
    @liberize 但是和字母混用的话显示就不是原来的而是 https://www.xn--l-7sbq6ba.com/ 这种形式了
    jason19659
        76
    jason19659  
       2017-04-20 17:50:31 +08:00
    前一阵说过了
    mingyun
        77
    mingyun  
       2017-04-20 19:18:03 +08:00
    套路好深
    maemolee
        78
    maemolee  
       2017-04-21 14:59:39 +08:00 via iPad
    @Mitt 扎心了,老铁
    Mitt
        79
    Mitt  
       2017-04-21 15:14:15 +08:00
    @maemolee 厉害了 老鸽
    blueset
        80
    blueset  
       2017-04-22 14:04:08 +08:00 via Android

    Chrome for Android 58.0.3209.83 临时修复了这一问题
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2517 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 05:51 · PVG 13:51 · LAX 21:51 · JFK 00:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.