上面这串域名会被导向至 v1271.zip
, @
标识符前面的所有字符都会被浏览器无视, 不信可以自己点点看。
具体可以参考这篇文章 The Dangers of Google’s .zip TLD
这个事情最近在国外社区很长看到, 不过我好像没在 v2 上看到类似的讨论。原理是假的/
字符: U+2044 () 和 U+2215 () 好在, 在某些字体中, U+2044() 被刻意设计的与正常的/
长得不太一样... 但是结合最近的 .zip 域名, 类似的讨论又再度被提了起来,因为如上面提供的假 url 一样, 这可以被利用于制作钓鱼链接, 来替换下载链接, 以传播病毒
总而言之, 当我们在点击超链接时, 最好检查一下有没有 @
标识符, 有没有长得很奇怪的 , 或是下载链接中的文件副档名是否真的是副档名, 而非顶级域...
![]() | 1 w2er 2023-05-29 02:17:21 +08:00 谢谢楼主 |
2 Ettup 2023-05-29 03:49:31 +08:00 via iPhone 有意思的问题,关注 |
![]() | 3 scyuns 2023-05-29 04:04:28 +08:00 via Android 感谢楼主科普,差点就中招了。 |
![]() | 4 terence4444 2023-05-29 04:46:52 +08:00 via iPhone Google 这次把 zip 和 mov 开放注册招致了很多批评。个人建议直接把这两个根域名屏蔽可以减少很多不必要的麻烦。正经域名已经不会用它俩了。 |
![]() | 5 Andim 2023-05-29 07:48:53 +08:00 在 V2rayN 里试了下 domain:zip 这样可以 block 然后把*.zip 加到路由的黑名单不知能不能生效 |
![]() | 6 yolee599 2023-05-29 08:28:02 +08:00 via Android ![]() 多虑了,.com 也是 windows 下的可执行文件啊,没见有什么问题 |
学到了,马上注册一些.zip 去 |
![]() | 8 bjzhush 2023-05-29 09:26:18 +08:00 |
9 boris1993Jr 2023-05-29 09:50:53 +08:00 via iPhone https://www.yoursister.zip/ |
![]() | 10 t41372 OP @yolee599 .com 作为可执行文件出现于 1970 年代,活跃于 MSDOS 操作系统中,现在几乎已经没人用了。 当时根本没有那么多个人用户,纽约时报 1981 年八月的报道指出,根据 International data 和其他机构的估计,全世界大约只有 100 万台个人电脑,且主要用于商业用途。世界上第一台主要面向大众,搭载图形化介面的个人电脑 - Macintosh 128k 要到 1984 年才出现。 数百万的用户数量与现今数亿的用户根本无法相提并论,更别提近些年日渐发达的网络黑色产业,电脑病毒已经变得比过去任何时候都要更加赚钱,门槛也更低了。 事实上,我相信 99%的人看到.com 这个词的第一反应都会是网站,而不是一个可供下载的文件名。与之相比,99%的人在网址中看到.zip ,第一反应都会是一个下载压缩包的链接,而不是一个域名。 |
11 leonshaw 2023-05-29 10:06:56 +08:00 .sh 呢 |
![]() | 12 bjzhush 2023-05-29 10:07:33 +08:00 @t41372 赞同,虽然很多年前我学习和折腾 Windows 下 bat 文件的时候研究过 com 格式文件,但是你不说我几乎都忘了这个也是可执行文件了。 主要是 .com 格式实际使用的非常非常少了,个人用户几乎接触不到,win 下基本上以 exe 和 msi 文件为主 |
![]() | 13 xiri 2023-05-29 10:12:15 +08:00 via Android 链接中 @前面的字符串通常被视为用户名密码 /token 吧,类似于下面这种用法还是能见到的 https://user:password@host:port/url https://token@host:port/url |
14 NoOneNoBody 2023-05-29 10:45:39 +08:00 隔壁有说 /t/943679 |
![]() | 15 D2h0VL89HMAU417B 2023-05-29 17:13:41 +08:00 学到了 |
![]() | 16 myqoo 2023-05-29 20:48:12 +08:00 感觉没啥用。还不如注册个类似 kubernetes 名字的 github 仓库,更容易上当。 下载 zip 就不假思索直接打开里面可执行程序的人,到处都会被骗。 |