首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
Udacity
网易公开课
Godel, Escher, Bach: An Eternal Golden Braid
宝塔
V2EX  ›  分享发现

给你介绍一个假的苹果网站,能肉眼看出来算我输

  •  1
     
  •   Aliencn · 2017-04-19 17:44:37 +08:00 · 10229 次点击
    这是一个创建于 944 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2017-04-20 10:30:25 +08:00
    看到大家的反馈 chrome 58.0.3029.81 已经修复了此问题。
    大家赶紧升级吧
    如果你还想体验这个 bug 的话,可以使用 btsync 下载到旧版 chrome 。
    BTsync 只读密钥: BJZ7EUXS7B5NG2KMIU3HUQ4KYYKBMN74E
    相关贴子: https://www.v2ex.com/t/349136
    80 回复  |  直到 2017-04-22 14:04:08 +08:00
        1
    Aliencn   2017-04-19 17:45:51 +08:00
    win10 系统
    在 chrome 下肉眼没看出来,在火狐下能看出域名有点问题。
        2
    xvx   2017-04-19 17:46:58 +08:00
    firefox:

    Hey there!

    This may or may not be the site you are looking for! This site is obviously not affiliated with Apple, but rather a demonstration of a flaw in the way unicode domains are handled in browsers.
        3
    Mutoo   2017-04-19 17:47:35 +08:00
    666, punycode 欺骗 https://www.xn--80ak6aa92e.com/
        4
    imlonghao673   2017-04-19 17:48:09 +08:00 via Android
    https://ooo.0o0.ooo/2017/04/19/58f7324ce96d6.png
        5
    imcocc   2017-04-19 17:48:19 +08:00 via Android
    https://www.xn--80ak6aa92e.com/
    网址是这个
    这漏洞好严重!
        6
    tracedocting   2017-04-19 17:48:37 +08:00 via iPhone


    ios 下 Safari 能看得出来……
        7
    chust   2017-04-19 17:48:41 +08:00 via Android
    @xvx 这是网页内容,不是 Firefox 的提示。。。
        8
    jy02201949   2017-04-19 17:49:52 +08:00 via iPhone
    http://i.imgur.com/AOjmUkC

    在 iphone 上看那个 l 字母短了一截
        9
    zts1993   2017-04-19 17:51:31 +08:00
    复制到微信 windows 发出去。。
        10
    xvx   2017-04-19 17:53:45 +08:00
    @chust 确实,不改字体看不出来……
        11
    ProjectAmber   2017-04-19 17:55:42 +08:00
    Chrome 57.0.2987.133 on Windows 10 ,一眼就能看出来 apple 的字体不对。
    这个倒是看不出来: https://www.xn--e1awd7f.com
        12
    mgna17   2017-04-19 17:56:23 +08:00
    i.imgur.com/HDEmnVf.png

    Droid Sans Fallback 😂
        13
    xspoco   2017-04-19 18:04:54 +08:00
    https://www.v2ex.com/t/355174

    这不是前几天说过了
        14
    hicdn   2017-04-19 18:29:29 +08:00
        15
    cbais7890   2017-04-19 18:59:04 +08:00
    @tracedocting Mac 下 Safari 效果也是这样
        16
    wly19960911   2017-04-19 19:05:41 +08:00
    前几天说了+1
        17
    zscself   2017-04-19 19:07:06 +08:00
    前几天说了++1
        18
    doubleflower   2017-04-19 19:21:13 +08:00
    网址里没有 L 就完美 了,比如


    http://www.арр.com/
    http://www.app.com/

    表面完全一样。
        19
    lazycat   2017-04-19 19:37:13 +08:00
    Chrome 59 dev
    表示在 v2 不是第一次看到这种帖子了。。。
    然而地址栏就是 https://www.xn--80ak6aa92e.com/ 这个样子的啊(
        20
    zhihaofans   2017-04-19 19:40:10 +08:00 via iPhone
    https://ooo.0o0.ooo/2017/04/19/58f74c8abe7c2.png
        21
    UnisandK   2017-04-19 19:49:48 +08:00
    firefox , 10.10 ,那个 l 太明显了
        22
    seeker   2017-04-19 20:01:16 +08:00
    Mac 一眼看出来了。前几天说了。
        23
    Showfom   2017-04-19 20:17:13 +08:00
    这哪里算漏洞。。。。 IDN 刚出来的时候就有这么做的了 只是 Firefox Chrome Opera 非要用 IDN 显示在地址栏
        24
    whitefable   2017-04-19 20:24:40 +08:00
    其实这个字体一下还比较明显.........反而前几天说的那个 epic 的倒是难看出来=.=
        25
    yangff   2017-04-19 20:39:01 +08:00


    星际选手是看不出来的
        26
    sobigfish   2017-04-19 20:48:10 +08:00
    看见过 punycode 的假 ccb.com
    给建行的 webmaster 发信 没有反馈。某安全中心也没有后续
        27
    cskeleton   2017-04-19 20:59:19 +08:00
    Chrome 打开 Apple 官网写的 Apple Inc. [US],不是写的 Secure 。

    @tracedocting Mac Chrome 看这个帖子也能看出字体不一样,但是在浏览器地址栏,几乎看起来是一样的。
        28
    billlee   2017-04-19 20:59:46 +08:00
    我的 Firefox 上显示出来的是衬线体的小写 L, 正常情况下是无衬线体,一眼看上去觉得不对劲,但不知道是哪里有问题
        29
    wavingclear   2017-04-19 21:29:19 +08:00
    随后该域名被国内黑产以七位数收购
        30
    geelaw   2017-04-19 21:30:43 +08:00
    你们都没看见前几天的 epic 么……其实 epic 那个也是很旧的事情了
        31
    liyvhg   2017-04-19 21:33:26 +08:00 via Android
    @geelaw 难怪注册 Tencent , alibaba , Facebook 都说有人注册了😂
        32
    wdlth   2017-04-19 22:14:06 +08:00
    非赛门铁克 EVSSL 请勿访问
        33
    starship   2017-04-19 23:06:36 +08:00
        34
    bukip   2017-04-19 23:25:55 +08:00
    所有 xn-*.com 统统禁掉!
        35
    longaiwp   2017-04-19 23:40:28 +08:00
    @yangff 显然 Chrome56 并没有这样的事情,默认情况下只有 Edge 是显示成编码模式,并且告诉你用了什么字符集和母语样式
        36
    yangff   2017-04-20 00:08:07 +08:00
    @longaiwp chrome 已经 60 了
        37
    KirkZheng   2017-04-20 00:49:29 +08:00 via Android
    明显空格就不对
        38
    lrxiao   2017-04-20 01:24:20 +08:00
    前几天不刚说了 epic
    西里尔文真糟啊
        39
    dynaguy   2017-04-20 01:36:55 +08:00
    我把樓主的鏈接 email 給自己,結果:
    MailScanner has detected a possible fraud attempt from "www.аÑ_BAD_Ñ_BAD_Ó_BAD_е.com" claiming to be https://www.аррӏе.com/
        40
    dynaguy   2017-04-20 01:38:49 +08:00
    同時測試了 Vivalda, 直接顯示了 www.xn--80ak6aa92e.com
        41
    msg7086   2017-04-20 06:05:27 +08:00
    @dynaguy Vivaldi 没这 Bug 。
        42
    SingeeKing   2017-04-20 06:26:02 +08:00
    不是 EV 证书,下一个
        43
    Perry   2017-04-20 06:39:32 +08:00
    macOS Chrome 也变短了
        44
    murmur   2017-04-20 08:01:16 +08:00
    IE 的又一次大胜利
        45
    zdnet   2017-04-20 08:24:06 +08:00
    Win10 Edge 下非常明显。
        46
    foreverplay   2017-04-20 08:39:09 +08:00
    deepin 下 chrome 的 L 是带尾巴的,类似手写体
        47
    Tink   2017-04-20 08:53:05 +08:00
    Hey there!

    This may or may not be the site you are looking for! This site is obviously not affiliated with Apple, but rather a demonstration of a flaw in the way unicode domains are handled in browsers.

    See what this is about
        48
    linzianplay   2017-04-20 09:00:55 +08:00
    https://ooo.0o0.ooo/2017/04/20/58f8082d4d6f5.png
        49
    goodryb   2017-04-20 09:21:39 +08:00
    ![]( )
    肉眼可见
        50
    maojy1989   2017-04-20 09:27:26 +08:00
    l 短了好大一截,一眼就看出来了
        51
    zcwlwen   2017-04-20 09:28:11 +08:00
        53
    ProjectAmber   2017-04-20 09:29:59 +08:00   ♥ 1
    Chrome 58.0.3029.81 ,已修复。
        54
    maemolee   2017-04-20 09:32:02 +08:00


    突然觉得 safari 巨安全
        55
    bozong   2017-04-20 09:37:18 +08:00   ♥ 1
    修复了
        56
    ajan   2017-04-20 09:47:07 +08:00   ♥ 1
    Chrome v58 修复了这个 bug, 但是 中文域名 就玩不了啦,哈哈哈~~
        57
    g5hdyd   2017-04-20 09:48:37 +08:00
    看不出来算我输

        58
    baizhebz   2017-04-20 10:07:59 +08:00   ♥ 1
    刚更新了 Chrome58..没这问题了
        59
    fangdingjun   2017-04-20 10:10:14 +08:00
    debian 9 chrome 57 地址栏 e 前面那个字母看起来像大写字母 i , 还是很明显的
        60
    ooTwToo   2017-04-20 10:14:41 +08:00
    @g5hdyd 原文链接!
        61
    asen1987   2017-04-20 10:18:21 +08:00   ♥ 1
    WIN7 64bit
    chrome 58 已经修复,直接显示 xn--80ak6aa92e
        62
    skylancer   2017-04-20 10:32:59 +08:00   ♥ 1
    Chrome 今天更新的 58 修复了
    应该是今天更新的,我昨天才重装的系统下的 Chrome
        63
    xman99   2017-04-20 10:47:16 +08:00
    chrome 57 本来看不出这个问题, 58 更新之后 显示的 url 正常了,,,
        64
    lixueliu   2017-04-20 10:55:02 +08:00
    @doubleflower 这个当真看不出来
        65
    bozong   2017-04-20 11:31:31 +08:00
    12
        66
    bozong   2017-04-20 11:31:43 +08:00
    都修复了
        67
    Mitt   2017-04-20 12:36:41 +08:00
    @maemolee 对比各大浏览器支持特性来看 Safari 也许是因为过于落后所以躲过了一劫。。。。
        68
    sephinh   2017-04-20 12:41:06 +08:00 via Android
    android , via 直接显示真实网址…… chrome 上域名字体间距过大,看着很明显啊
        69
    hjc4869   2017-04-20 12:42:36 +08:00 via Android
    @Mitt 并不是, Safari 和 IE/Edge 只显示本语言的 IDN
        70
    Mitt   2017-04-20 12:45:26 +08:00
    @hjc4869 然而恰巧这俩浏览器也是行业内比较差的两款浏览器(目前) 特别是 Safari 除了省电一点好处没有
        71
    sleeprottenbanan   2017-04-20 13:11:11 +08:00
    推荐谷歌插件 Real Domain Name ,这个插件就是用来区别这种网址的,会自动提醒你
        72
    imherer   2017-04-20 13:24:38 +08:00
    666
        73
    Phariel   2017-04-20 13:29:35 +08:00
    我看了这贴,才知道 chrome 出 58 了。果然自动更新以后再访问也开始弹提示了,这问题修掉了。
        74
    liberize   2017-04-20 14:17:27 +08:00
    @doubleflower 有 l 也没关系,因为这种字符可以和 ascii 字符混用,比如 https://www.аррlе.com/
        75
    doubleflower   2017-04-20 16:40:32 +08:00
    @liberize 但是和字母混用的话显示就不是原来的而是 https://www.xn--l-7sbq6ba.com/ 这种形式了
        76
    jason19659   2017-04-20 17:50:31 +08:00
    前一阵说过了
        77
    mingyun   2017-04-20 19:18:03 +08:00
    套路好深
        78
    maemolee   2017-04-21 14:59:39 +08:00 via iPad
    @Mitt 扎心了,老铁
        79
    Mitt   2017-04-21 15:14:15 +08:00
    @maemolee 厉害了 老鸽
        80
    blueset   2017-04-22 14:04:08 +08:00 via Android

    Chrome for Android 58.0.3209.83 临时修复了这一问题
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4141 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 108ms · UTC 07:05 · PVG 15:05 · LAX 23:05 · JFK 02:05
    ♥ Do have faith in what you're doing.