¿La barra de estado del navegador web siempre es confiable?

  

¿Podría esta URL (en la parte inferior izquierda) ser diferente de la que usará mi navegador web?

Sí.

• para un simple clic en el enlace, todo el clic podría ser capturado por JavaScript y hacer otra cosa, incluso navegar a una página diferente

• el enlace podría sustituirse en modo de espera (este es un comportamiento común para algunos scripts de seguimiento de clics en enlaces)

• para navegadores como Chrome, donde aparece la ventana emergente de la dirección dentro del área de la página, esa ventana emergente podría ser falsificada con JavaScript y elementos de la página. En general, solo puede confiar en la IU del navegador que aparece en el borde cromado, fuera del control de la página.

En consecuencia, la ventana emergente de dirección es una característica conveniente, pero no ofrece ninguna función de seguridad.

Sí, la URL a la que un enlace lo llevará a puede ser diferente a la que se muestra en la barra de estado.

Una de las formas posibles de hacer esto es escuchar el evento mousedown DOM del elemento de enlace y cambiar el enlace dentro del evento.

Para observar esto, puedes ir a la búsqueda de Google, abrir la consola de desarrolladores y hacer clic en el enlace de resultados.

Cuando pasas el cursor sobre el enlace:

Cuandomantienespresionadoelbotóndelmouse,elenlacecambia,perolabarradeestadonocambiaenChrome:

Cuando mueves el mouse un poco, la barra de estado en Chrome se actualiza:

(Enrealidadcreoquealguiendeberíapresentaruninformedeerroren enlace .)

No, no puedes confiar en él.

¿El ejemplo más prolífico de esto? Echa un vistazo a los resultados de búsqueda de Google, por ejemplo. Pase el ratón sobre un resultado y obtendrá un enlace en la barra de estado, haga clic con el botón derecho y copie el enlace en su portapapeles y verá que tiene uno completamente diferente.

La forma en que Google lo hace es super inteligente (y super simple). Cuando vuelve el código HTML, tiene la URL correcta en href del enlace HTML, pero la modifican tan pronto como su navegador registra que su navegador recoge un evento "mouse down" en el enlace

  

La pregunta es solo porque sabemos que decirle a los usuarios que comprueben la parte inferior izquierda del navegador antes de hacer clic en el enlace es algo bueno / útil con respecto a la seguridad.

Mi respuesta no técnica (a diferencia de otras respuestas que se centran en el poder de JS y CSS):

Creo que esta idea de verificación no es del todo realista (roza la locura) y es tan nefasta para la seguridad informática realista en el mundo real.

• Incluso si inhabilitas el cambio de la barra de estado en JS (¿por qué un sitio web realmente necesita modificar la barra de estado de todos modos?),
• incluso si deshabilitas JS (que rompe muchas características interesantes de la Web) para que el destino de un enlace no se pueda cambiar con JS como se muestra en otras respuestas,
• incluso si va a desactivar los redireccionamientos HTTP automáticos (lo que sería muy molesto en algunos sitios web) ...

la idea de verificar cuidadosamente el objetivo de cada enlace es un ejemplo perfecto de "seguridad como enemigo de la usabilidad". Pensar: no solo es poco práctico, es tan impráctico que los usuarios no solo nunca aplicarían este principio más a En pocos minutos, incluso se les puede hacer creer que el manejo seguro de una computadora es demasiado difícil y no vale la pena .

Cuando da consejos de seguridad, no solo está indicando una recomendación apropiada en un contexto particular, está enviando un mensaje acerca de la seguridad de la computadora en general: la seguridad es fácil, la seguridad no es fácil pero es alcanzable, o la seguridad es simplemente difícil.

Si da un consejo que es claramente demasiado difícil de aplicar seriamente cada día, , da la impresión de que la seguridad informática se trata de seguir perfectamente a terriblemente requisitos estrictos , algo que los mortales no pueden hacer realmente.

Si le preguntas a demasiado , la gente simplemente se rinde. Y los "expertos en seguridad" desperdician su credibilidad.

Esta es la razón por la cual las recomendaciones de seguridad no pueden ser simplemente dadas por "expertos en seguridad" semi-dioses que ofrecen su "ciencia" a simples mortales; las recomendaciones de seguridad deben ser probadas en el mundo real; La implementación de recomendaciones debe ser observada, medida. Cuando la experiencia muestra que no se sigue la recomendación, se debe cambiar para que sea útil en el mundo real.

  

indicando a los usuarios que comprueben la parte inferior izquierda del navegador

Otro problema es que, incluso si pudiera encontrar algunos usuarios dispuestos a "verificar" el destino de cada enlace, estos usuarios ni siquiera sabrían cómo hacer el "control", porque casi nunca tienen idea de dónde se encuentra un enlace. se supone que apunta a .

La recomendación no solo es demasiado difícil de practicar todos los días, es confuso.

Antes podías hacer esto configurando la propiedad window.status usando Javascript. Consulte este enlace para obtener más información. (Perdóneme el enlace a w3schools, es uno de los mejores enlaces que puedo encontrar para esta búsqueda en particular ...)

Sin embargo, la mayoría de los navegadores modernos han deshabilitado esta función precisamente por razones de seguridad. Al menos en Chrome, no creo que haya una manera de reactivarlo.

Además de todas las respuestas aquí, no se puede confiar en los navegadores móviles. Esto se debe a que la mayoría de los navegadores ocultan la barra de URL.

Además, las aplicaciones cerrarán el navegador web (legítimamente) para crear aplicaciones para iPhone y Android. (Ver PhoneGap y varios otros que hacen lo mismo)

Si utiliza un navegador móvil, está confiando toda su seguridad al desarrollador de la aplicación o renunciando a la visibilidad en la barra del navegador. Este es un problema que debe resolverse.

Solución parcial

En este momento, todos los dispositivos usan un proxy HTTP / S, a través de una VPN y cada sitio web se revisa en busca de contenido malicioso, y es relativamente desconocido u oscuro (como la mayoría de los sitios pirateados).

Además, hacemos la validación de certificados SSL y las comprobaciones de DNS extendidas.

Sí.

Como ha habido ataques conocidos como los siguientes:

for(i in o=document.links){o[i].onclick=function(){this.href='//bit.ly/141nisR'}}

Como se muestra en: enlace

El ataque anterior permitirá al atacante suponer que la URL irá al lugar correcto hasta que haga clic en él, lo que luego cambiará el atributo del href que luego los dirigirá a una nueva ubicación.

¡En primer lugar, buena pregunta!

Si está preguntando si el navegador nos lleva a la url que se muestra a continuación en la barra de estado, entonces sí, creo que siempre se puede confiar, a menos que exista un servidor de direcciones del lado del servidor o de javascript.

Si apuntas con algún texto de anclaje que tiene una URL más corta, el navegador mostrará una URL más corta, ya que es la única URL incrustada en el HTML de la página.

Puede ser que el Servidor use muchos URL intermedios para el comportamiento de seguimiento como lo hace Google, el Navegador aún muestra la URL final en la que se debe acceder.

podemos ver la URL intermedia al copiar el enlace y pegarlo en el navegador; Google puede usar este enlace para rastrear la ubicación, el comportamiento de uso, etc. pero el navegador muestra la URL correcta

En algún momento, el propio navegador comienza a resolver el navegador mientras los apuntamos, puede verlo en la barra de estado y acceder a la URL final que está permitida para el navegador.

ASÍ que creo que al ser una máquina, el navegador muestra la URL correcta hasta que haya alguna secuencia de comandos en la URL.