Стал интересен такой вопрос: насколько важно видеть URL сайта? Как-то года 2 назад осенним вечером делал веб-приложение, тестировал всё в популярном и по сей день браузере и обнаружил интересный по своей сути баг.
При проведении некоторых манипуляций javascript скрывал URL сайта, то есть загружал содержимое и оставлял адресную строку браузера чистой. Сразу возникли мысли, что это можно использовать в не очень хороших целях, таких как фишинг и т.д.
Не долго думая, написал баг репорт с пометкой информационной безопасности. Компания признала баг и присвоила приоритет «low». Хорошо подумал я, так тому и быть. Следил я за развитием событий, с выходом новых версий делал обновления в баг-репорте, напоминая о том, что баг ещё актуален. Прошло какое-то время, n-ое количество обновлений, баг оставался актуальным и после очередного моего напоминания о актуальности бага мне ответили, что баг репорты с приоритетом «low» не нуждаются в отслеживании в следующих версиях. После чего, ясное дело, я забил и забыл!
И вот прошло больше 2-х лет. Около 20 обновлений браузера. И что же я вижу? Всё осталось по прежнему, всё также мой тестовый сайт стартует с пустой адресной строкой. В этой связи мне стало интересно, какое отношение к такому багу будет у общественности и какие будут результаты опроса.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (41)
kahi4
06.07.2015 15:34+4А можно пример этой самой ошибки? Или ссылку на баг-репорт?
Это опасно только для не опытных пользователей
Как раз неопытным пользователям все равно на URL. Для них это набор символов.
skyskif Автор
06.07.2015 15:55Вот ссылка на баг-репорт bugzilla.mozilla.org/show_bug.cgi?id=801438
Reported: 2012-10-14 11:31
Yavanosta
06.07.2015 15:39+1Кажется это действительно не очень важно. Я вижу два варианта:
1) пользователь не очень внимательный, и тогда его пароль проще украсть с помощью ondoklanisski.ru или аналога (кстати домен свободен).
2) пользователь внимательный и проверяет урл перед вводом пароля. Тогда для него пустая адресная строка это даже лучше, потому что тут уж сразу понятно что это фишинг, даже зрение не надо напрягать.
Arilas
06.07.2015 16:10+1В последнее время, важно чтобы был указан домен, на котором находится пользователь, потому что внутрисайтовая навигация в последнее время может не соответствовать текущей реальной странице (при перезагрузке страницы пользователь может оказаться не на той странице, где он был). Уже даже встречал сайты, что текущая страница хранилась в localStorage, а не в URL.
То-есть главное, чтобы нельзя было подменить домен (что мозилла блокирует вроде).
kefirfromperm
06.07.2015 16:44можно ли вписать адрес другого сайта?
как он работает с HTTPS?skyskif Автор
06.07.2015 17:18Нет, адрес другого сайта вписать нельзя. Как работает с HTTPS не знаю, это и не требуется. Можно просто отдавать по HTTP без ssl.
michael_vostrikov
06.07.2015 17:08+2Фишинг подразумевает, что человек думает, что находится на одном сайте с пустой строкой вместо URL, а на самом деле на другом сайте с пустой строкой вместо URL. Но тот человек, который смотрит на URL, скорее всего вообще не будет пользоваться сайтом, где URL не видно, вне зависимости от того, настоящий он или фишинговый. Даже если это и не баг вашего кода, я бы посоветовал поменять ваш код, чтобы он работал по-другому и не очищал URL.
Прочитав заголовок, я было подумал, что речь идет об адресной строке браузера. Она нужна хотя бы для тех, кто ей пользуется. А в контексте статьи считаю так — это вызывает подозрение.skyskif Автор
06.07.2015 17:58+2Фишинг подразумевает, что человек находится на сайте например vk.com, я ему скидываю ссылку «Смотри какое фото!!!)))» через открытый редирект «vk.com/away.php?to=(наш сайт)#.jpg» перенаправляю на сайт фальшивку "(наш сайт)#.jpg", которая один в один главная страница сайта «vk.com» но он не видит куда его перекинуло, из-за вышеописанной ошибки, и думает, что его выкинуло. Быстро вводит свой логин и пароль (чтобы написать, какой я не хороший человек) и я его отправляю назад на его страницу. Он ничего даже не подозревает, а пароль уже у меня. (Это ситуация образная, для ознакомления и не является инструкцией к применению)
michael_vostrikov
06.07.2015 18:25+1Ну а как это противоречит моему комменту?) Он не «не видит куда его перекинуло», а видит, что он перешел по ссылке, и URL исчез. Лично я вообще ни разу не сталкивался с такой ситуацией, и подумал бы, что у меня браузер глючит. Поэтому закрыл бы вкладку или вообще перезапустил браузер. В данной ситуации для меня нет разницы, написано в адресной строке «vk.som» или там пусто. Это выглядит странно, и лучше не продолжать.
Lockal
07.07.2015 12:18+1+1. Не все ожидают переброса от ссылок вида vk.com/photo226876135_346722711&z=/%2e%2e/%61%77%61%79%2e%70%68%70?%74%6f=%68%74%74%70%3a%2f%2f%79%61%2e%72%75
skyskif Автор
06.07.2015 17:35Ещё забыл описать, когда грузится страница крутится индикатор загрузки страницы (сверху во вкладке), что вызывает ощущение подтормаживания самого браузера. То есть возникает ложное чувство, что он сейчас загрузится и выведет URL, чего не происходит.
AndersonDunai
06.07.2015 18:38Таково, к сожалению, большинство обычных пользователей: как в интернете, так и в реальной жизни не станут обращать внимание на нечто, пока оно не вылезет из экрана и не ударит их по лицу.
foxmuldercp
06.07.2015 18:53+1Некоторые даже и этого могут не заметить — видео с котиками — они такие опасные.
А все потому что основам грамотности в ИТ сфере нигде не учат.
У меня вот у ребенка информатика с учебником времен моего детства — все тот же офис дай бог памяти 2003, и надо думать как его учить мимо школьной программы, благо бешеных птичек ребенок их освоил получше меня с женой.
Goodkat
06.07.2015 18:55+4Всегда смотрю на адресную строку, предпочитаю ЧПУ, и меня раздражает, что современные браузеры её прячут, показывая вместо неё то домен, то поисковый запрос.
Думаю, большинству пользователей всё равно, видно ли адресную строку, и что в ней находится — для них это ненужная, техническая, не несущая полезной нагрузки информация.
Опасно ли?
Явные баги, типа отображения чужого домена, все браузеры исправляют довольно быстро, а неверный адрес в пределах своего домена особой опасности не несёт.
Кто проверяет содержимое адресной строки при важных операциях, тем не опасно, а остальным от этого ни холодно, ни жарко, и опасности не добавляет.
oWeRQ
06.07.2015 19:06-1Вероятно, в строке адресса в основном окне это будет подозрительно, но менее подозрительно чем совсем левый домен, самое опасное — попапы с авторизацией, к ним не на столько привык глаз.
dolphin4ik
06.07.2015 19:23По идее это на совести браузера. Как например Яндекс скрывает урл, подменяя его на тайтл, но при фокусе — делает видимым. Но конечно скрывать полностью это как у прохожего взять 100 рублей на полчаса…
KIBIs
07.07.2015 11:07Практика показывает, что рядовым пользователям абсолютно все равно какой адрес у сайта, они на него через поисковик заходят. Это может использоваться в социнженерии.
Mrrl
07.07.2015 12:34URL сайта полезен только если его надо куда-нибудь скопировать, поделиться ссылкой. Гораздо важнее видеть URL ссылки, по которой хочешь перейти.
vlivyur
07.07.2015 12:42goo.gl?
Mrrl
07.07.2015 12:46+1Задумаюсь, переходить, или нет. Зависит от общей репутации опубликовавшего её ресурса/пользователя.
khanid
07.07.2015 13:06Я, кстати, не перейду. Не доверяю всяким сокращалкам ссылкок. Доподлинно не известно, что там под краткой записью лежит на самом деле.
madixi
07.07.2015 23:18+2Почему никто не вспомнил, зачем вообще URL, даже в строке которая не отображается в браузере?!
Я хочу поставить закладку на внутреннюю страницу, мне параллельно на сколько динамически она сформировалась.
Я хочу через год по ней ткнуть и увидеть страницу в том самом виде, все необходимое для этого должно быть в URL.
Сайты которые мне отказывают в этом умножают скопище интернет мусора.
surly
08.07.2015 08:41Вот за что мне нравится браузер Opera: за то, что он «из коробки» позволяет запрещать многие подозрительные действия скриптов.
skyskif Автор
15.07.2015 09:54Вот, можно оформить страницу так, чтобы в адресной строке был «about:blank». Ссылка на баг репорт: bugzilla.mozilla.org/show_bug.cgi?id=837791
PyroRed
По работе много приходится отвечать на звонки. Так вот, люди вообще не представляют, что такое адресная строка. Если просишь назвать адрес сайта, то как правило отвечают то, что набрали в поисковике. А адресную строку браузера просто не видят. Может это какая-нибудь баннерная слепота?
thelongrunsmoke
Подтверждаю. Работая в техподдержке был очень удивлен, сколько времени уходит на попытку узнать что написано в адресной строке и объяснение где она.
Rigidus
Это не говорит о том что адресная строка не нужна. Это говорит о уровне обращающихся за техподдержкой
zharikovpro
Это банальная неграмотность. Просто никто не осваивает использование браузера по книжкам, где написано что такое адресная строка, почему зачем и как ею пользоваться и т.п.
REZ1DENT3
В связи с последними событиями, я бы не доверял адресной строке так сильно… Вот пример
zelenin
в файрфоксе 39 не работает.
antyblin
Hukuta
Chrome Version 43.0.2357.130 (64-bit)
работает! ужс
khim
«Показывает», а не «работает» :-) Там фишка в том, что страница сильно занята (бесконечный цикл) и потому рендерер никак не может «собраться с духом» и обновить URL.
Это несколько снижает остроту прблемы, хотя, конечно, всё равно неприятно…
PsyHaSTe
На FF39 он сначала показывает эту строку, а затем обновляет url с очисткой страницы.
edogs
Включается легко — в менюшке галочкой, но это надо именно включить. Так что… не баннерная слепота и не тупость пользователя, а просто дефолтные настройки производителей софта.
sergey-b
Просто разработчики современных браузеров считают, что пользователям знать адрес необязательно и уменьшают адресную строку, маскируют, забивают кнопками, вставляют туда заголовок страницы, объединяют ее с поисковой строкой и т. д.