南京律师 http://www.dqlawyer.com

随手注册一个域名放到网上，就可以得到极客们的夸夸？

这么个简单的事，就能让大家交口称赞，其实是因为这哥们用自己的实际行动，抵制了谷歌最近这个犯浑的操作。。。

它开放了一个类似于.com、.cn的顶级域名：.zip。

这波操作，搞得咱们以后在网上下东西，聊天得更加小心了。

虽然我相信大家现在不太会去网页端里下载东西，但谷歌这通操作完，指不定回头你就要吃瘪了。

在聊这个全新的顶级域名前，托尼先来告诉大家，这玩意到底可以动什么手脚。

看看这两个链接有什么区别：

看起来是不是差不多？

但其实，前一个是指向Github上一个项目里的某个软件压缩包。

而后者前面那一大串都是障眼法，它真正指向的是一个叫做v1271.zip的网站。

至于这网站里藏了啥玩意，那我们可就不清楚了，指不定就是个古早味钓鱼网站。

总之就是一整个风险拉满。

等等，这玩意看起来不是个github上的文件链接吗，怎么成了另一个人的钓鱼网址呢？

其实这就和电脑如何识别网址有关了：

在访问网络的时候，服务器会把“https://”和“@”之间的内容给当作用户的信息，而不是真实的网址。

被当作网址的，是“@”后面的一连串信息。

所以https://google.com@bing.com这个网址其实访问的是bing.com，中间的google.com因为被‘@’夹在中间所无视。

但是如果我们在“@”前面再加个‘/’正斜杠，电脑就会把正斜杠后面的内容当作网址路径的一部分。

简单来说，有‘/’的话，‘@’就没用了。

举个例子，https://google.com/search@bing.com这个网址就不会落在Bing，而是访问到Google上。

这下问题就来了。

刚才那个网站是怎么做到，绕过这个限制的？明明它也有正斜杠啊。

其实仔细看能发现，这个正斜杠长的不太一样。因为在咱们常用的字符列表里，有另外两个和/非常像的字符：

U+2215（∕）和U+2044（∕）

它们在Chrome浏览器中不被认为是真正的正斜杠，也不像正斜杠那样，能让‘@’变没用。

所以才能实现一整个偷梁换柱，让假网址变的很像真网址。

虽然说多看几眼咱们可以发现这个假斜杠的宽度不太一样，而且仔细看的话，会发现Chrome也对真实访问的网址用颜色做出了标识。

但是呢！在电子邮件里，‘@’的字号可以被设置到最小，来实现一个瞒天过海。你品品下面这张图。

来自海外安全人员的测试

这就是他实现恶意攻击的方式。通过假的正斜杠+@字符的方式，将虚假的.zip域名给伪装成一个正规下载文件。

所以啊，对于谷歌这波操作，我是真没整明白。。。

这事得追溯到2023年5月15号，谷歌开放出了一批新的顶级域名（TLD）给大家注册。

这些顶级域名就像是各个网站页面们的“小区号”，比如.com、.org、.cn、.edu这些都是。

互联网发展了这么多年，大家对网址的需求也贼多。为了能让大家都有足够能用的网址，互联网运营商会提供各种各样的顶级域名来让大家购买。

而在这回被放出来的顶级域名里，就有.zip的身影（同时开放的还有.dad.phd.prof.esq.foo.mov这些）。

之后，咱们就可以注册各种以zip结尾的网址，比如说什么setup.zip啊，前面提到的v1271.zip都是如此。

本来到这一步事情其实也还好，大家伙都是擅长网络冲浪的高手，也不至于看到个网站就打开了。

但坏就坏在，这玩意放网址里，长得太像一个可以下载的压缩文件了，谁还没下过几个zip安装包啊。

而且危害还不止如此。

这年头的软件们都喜欢给咱们输的文字版网址，自动生成一个可以点击的超链接，所以它的危害性能再上一层。

比如微信就可以把.com结尾的、长得像网址的东西转换成链接，虽然目前还没识别.zip这个顶级域名，但是可能也就是时间问题。

这就意味着，未来我们在聊天、发邮件、找攻略的时候，遇到的所有XXX.zip都可能变成一个可以点击的链接。

咱们就举个例子吧。想象一下咱们在找资源的时候，可能会看到好心人这样介绍:

这种时候如果有人恶意注册了download.zip这个域名的话，就会导致这段话里的donwload.zip变成一个可以立刻点击的链接。。。

那万一路过的群众如果点击一下这个链接，打开的东西可能就不是咱们想要的资源，而是一个恶意文件或者是网页。

风险一整个拉满。所以，在这些本意方便大家的技术叠加之下，.zip这个域名的危险性被再一次放大。

不过呢，这事其实也不是那么容易碰到的，而且网上也有不少大佬用这个域名做了很多有意思的事情，自愿当起了“白衣骑士”。

比如文章开头里提到的夸夸，就是在感谢一位叫Alex的大佬，他注册下来了setup.zip这个域名，用来宣传.zip的危害性。

也有老哥为了让大家更直观的认识到.zip可能带来的危害，在自己的zip域名上设计了一个模仿WinRAR的界面。

你还别说，我觉得这有鼻子有眼的页面还真的能骗到人

甚至还有人为了一劳永逸，做了一个Chrome插件，用来禁止浏览器访问.zip和.mov域名。

虽然说对咱们这样的互联网用户来说，去论坛上找资料的情况已经不多了。但无论如何，网上冲浪还是要注意安全，不该点的链接不要瞎点。

也祝愿大家别和我一样，被黑客一秒盗走了账号密码。。。

上一篇：

下一篇：