Questo URL (a sinistra / in basso) potrebbe essere diverso da quello utilizzato dal mio browser web?

Sì.

• per un semplice clic su un collegamento, l'intero clic potrebbe essere catturato da JavaScript e fatto per fare qualcos'altro, incluso il passaggio a una pagina diversa

• il collegamento potrebbe essere sostituito quando viene spostato (questo è un comportamento comune per alcuni script di monitoraggio dei clic sui collegamenti)

• per browser come Chrome in cui il pop-up dell'indirizzo appare all'interno dell'area della pagina, quel pop-up potrebbe essere falsificato con JavaScript e gli elementi della pagina. In generale puoi fidarti solo dell'interfaccia utente del browser che appare nel bordo cromato, al di fuori del controllo della pagina.

Di conseguenza il pop-up dell'indirizzo è una funzione comoda ma non offre alcuna funzione di sicurezza .

Sì, l'URL a cui un link ti porterà alla fine può essere diverso da quello mostrato nella barra di stato.

Uno dei modi possibili per farlo è ascoltare all'evento mousedown DOM dell'elemento link e cambia il link all'interno dell'evento.

Per osservare questo puoi andare su Google search, aprire la console per sviluppatori e fare clic su un risultato link.

Quando passi il cursore sul link:

Quando tieni premuto il pulsante del mouse, il link viene modificato, ma il la barra di stato non cambia in Chrome:

Quando muovi leggermente il mouse, la barra di stato in Chrome viene aggiornata:

(In realtà penso che qualcuno dovrebbe inviare una segnalazione di bug su http://crbug.com.)

No, non puoi fidarti.

L'esempio più prolifico di questo? Dai un'occhiata ai risultati di ricerca di Google, ad esempio. Passa il mouse su un risultato e ottieni un link nella barra di stato, fai clic con il pulsante destro del mouse e copia il link negli appunti e vedrai che ne hai uno completamente diverso.

Il modo in cui Google lo fa è super intelligente (e super semplice). Quando l'HTML ritorna, hai l'URL corretto nel href del link HTML, ma lo alterano non appena il tuo browser registra che il tuo browser rileva un evento "mouse down" sul link

La domanda è solo perché si sa che dire agli utenti di controllare la parte sinistra / inferiore del browser prima di fare clic sul collegamento è una cosa buona / utilizzabile per quanto riguarda la sicurezza.

La mia risposta non tecnica (a differenza di altre risposte che si concentrano sulla potenza di JS e CSS):

Penso che questa idea di controllo non sia assolutamente realistica (al limite della follia) e in quanto tale nefasto per la sicurezza informatica realistica e realistica.

• Anche se disabiliti la modifica della barra di stato in JS (perché un sito web dovrebbe davvero modificare la barra di stato comunque?),
• anche se disabiliti JS (che interrompe molte funzionalità Web interessanti) in modo che la destinazione di un collegamento non possa essere modificata con JS come mostrato in altre risposte,
• anche se si arriva a disabilitare i reindirizzamenti HTTP automatici (che sarebbe molto fastidioso su alcuni siti Web) ...

l'idea di controllare attentamente l'obiettivo di ogni singolo collegamento è un perfetto esempio di "sicurezza come l'en emy of usability "thinking: non è solo poco pratico, è così poco pratico che gli utenti non solo non applicherebbero mai questo principio per più pochi minuti, ma potrebbero anche essere portati a credere che la gestione sicura di un computer sia troppo difficile e non ne vale la pena .

Quando fornisci consigli sulla sicurezza, non stai solo affermando una raccomandazione appropriata in un contesto particolare, stai inviando un messaggio sulla sicurezza del computer in generale: la sicurezza è facile , la sicurezza non è facile ma raggiungibile, o la sicurezza è semplicemente troppo difficile.

Se dai un consiglio che è chiaramente troppo difficile da applicare seriamente ogni singola volta, ogni singolo giorno , stai dando l'impressione che la sicurezza del computer consista nel seguire perfettamente terribilmente requisiti rigorosi , qualcosa che i comuni mortali non possono davvero fare.

Se chiedi troppo , le persone semplicemente si arrendono. E gli "esperti di sicurezza" sprecano la loro credibilità.

Questo è il motivo per cui le raccomandazioni sulla sicurezza non possono essere fornite solo da semi-dei "esperti di sicurezza" che offrono la loro "scienza" a semplici mortali; le raccomandazioni sulla sicurezza devono essere testate nel mondo reale; l'attuazione delle raccomandazioni deve essere osservata, misurata. Quando l'esperienza mostra che il consiglio non viene seguito, deve essere modificato per diventare utile nel mondo reale.

chiedendo agli utenti di controllare la parte sinistra / inferiore del browser

Un altro problema è che, anche se potessi trovare alcuni utenti disposti a "controllare" il target di ogni singolo link, questi utenti non saprebbero nemmeno come fare il "controllo", perché non hanno quasi mai idea di dove un link dovrebbe puntare a .

Il consiglio non è solo troppo difficile da praticare tutti i giorni, ma crea confusione.

Prima era possibile farlo impostando la proprietà window.status utilizzando Javascript. Vedi questo link per ulteriori informazioni. (Perdonatemi il collegamento a w3schools, è uno dei migliori collegamenti che posso trovare per questa particolare ricerca ...)

Tuttavia, la maggior parte dei browser moderni ha disabilitato questa funzione proprio per motivi di sicurezza. Almeno su Chrome, non credo ci sia un modo per riattivarlo.

Oltre a tutte le risposte qui, i browser mobili non possono essere considerati attendibili. Questo perché la maggior parte dei browser nasconde la barra degli URL.

Inoltre le app avvolgono il browser web (legittimamente) per creare applicazioni per iPhone e Android. (Vedi PhoneGap e molti altri che fanno la stessa cosa)

Se utilizzi un browser mobile, affidi tutta la tua sicurezza allo sviluppatore dell'app o rinunci alla visibilità sulla barra del browser. Questo è un problema che deve essere risolto.

Soluzione parziale

Al momento, tutti i dispositivi utilizzano un proxy HTTP / S, su una VPN e ogni sito web viene controllato per contenuti dannosi eo è relativamente sconosciuto o oscuro (come la maggior parte dei siti compromessi).

Inoltre eseguiamo la convalida del certificato SSL e controlli DNS estesi.

Sì.

Poiché ci sono stati attacchi noti come i seguenti:

  for (i in o = document.links) {o [i] .onclick = function () {this.href = '// bit.ly/141nisR'}}  

Come mostrato in: http://bilaw.al/2013/03/ 17 / hacking-the-a-tag-in-100-characters.html

L'attacco di cui sopra consentirà all'attaccante di presumere che l'URL stia andando nella posizione corretta finché non fa clic su it, che poi cambia l'attributo di href che poi li indirizza a una nuova posizione.

Prima di tutto bella domanda!

Se stai chiedendo se il browser ci porta all'URL mostrato sotto nella barra di stato, allora è sì, trovo che ci si possa sempre fidare, a meno che alcuni server o Il risolutore di indirizzi javascript è presente.

Se punti un testo di ancoraggio che ha un URL accorciato, il browser visualizzerà l'URL accorciato poiché questo è l'unico URL incorporato nell'HTML della pagina.

Può be Server utilizza molti URL intermedi per monitorare il comportamento come fa Google, il browser mostra ancora l'URL finale su cui atterrare.

possiamo vedere l'URL intermedio copiando il collegamento e incollarlo nel browser, Google può utilizzare questo collegamento per monitorare la posizione, utilizzare il comportamento ecc. ma il browser mostra l'URL corretto

A volte il browser stesso inizia a risolvere il browser mentre noi li puntiamo, puoi visualizzalo nella barra di stato e accedi all'URL finale consentito al browser.

Quindi penso che essendo una macchina, il browser mostra l'URL corretto fino a quando non è presente uno script nell'URL.