agulitsky Jul 25 2018 at 13:25

Фишинг с помощью тега title

1 min

10K

Information Security*

+25

Comments 10

g0rd1as Jul 25 2018 at 19:14

А вы им заранее написали об этом? Принято вроде сначала сообщать производителю, а уж если они дыру не латают — тогда сообщать всей честнОй общественности. :)

-5

Theodor Jul 25 2018 at 20:19

Это же не баг, а триумф эффективного дизайна над безопасностью.

+12

Tokijirichirink Jul 26 2018 at 06:27

В прошлом году на UISG был отличный доклад на эту тему:
13.uisgcon.org/pdf/uisgcon13-alex-starov+modern-scam-campaigns.pdf
Смотреть с 33-го слайда.
Общий вывод: 98% баузеров уязвимы хотя бы к одному из вариантов подобного фишинга

KosBeg Jul 26 2018 at 06:28

Не знаю чем это грозит конкретно этому сайту, но чуть напрягает — https://cheeting.now.sh/?url=javascript:alert('XSS')

agulitsky Jul 26 2018 at 06:32

Целью была быстрая демонстрация проблемы, поэтому скрипт набросан за 15 минут в свободное время. Так что такое вполне может быть.

agulitsky Jul 26 2018 at 07:06

Ну и, если есть желание исправить, добро пожаловать на GitHub.

unibasil Jul 26 2018 at 06:37

У меня в мобильном Chrome в адресной строке отображается адрес. Она для этого и предназначена, мне кажется. ;)

-2

UselessFire Jul 26 2018 at 09:51

Речь про CM Browser от Cheetah Mobile

unibasil Jul 27 2018 at 08:04

О, пардон, не обратил внимания. Ну, для команды разработчиков, которые позиционируют свой браузер как «Самый безопасный браузер и загрузчик видео с Ad Blocker и лучшим антивирусом», это действительно epic fail.

RadicalDreamer Aug 1 2018 at 04:34

Оказалось, что подобным грешит также браузер от LineageOS (Jelly).
Сделал фикс для отображения полного URL в адресной строке.

Show the best of all time