Интернет

Microsoft не позволит злоумышленникам выдавать свои сайты за чужие

Браузер Microsoft Internet Explorer больше не будет поддерживать интернет-адреса (URL) вида http(s)://логин:пароль@сервер. Будущие версии браузера не будут поддерживать этот формат, кроме того, обновление существующих версий будет также приводить к отключению поддержки этого вида адресов.

Такой формат адресов был разработан на начальном этапе развития IP-сетей для передачи аутентификационных данных. К настоящему времени разработаны другие способы передачи имени пользователя и пароля, обеспечивающие эффективную защиту от просмотра этих данных посторонними лицами.

Особенностью обработки браузером адресов такого вида являлось то, что если для доступа к тому или иному сайту не нужен пароль (как правило, это относится к большинству публично доступных сайтов), то браузер игнорирует то, что написано до символа "@", отправляя пользователя на адрес, указанный после этого символа. Это свойство в последние годы стали часто использовать различного рода интернет-мошенники - используя этот метод, можно заманивать пользователей на желаемую страницу, выдавая ее за другую.

Так, широко известен случай, когда группа хакеров разослала письма якобы от имени компании Microsoft с просьбой зайти на определенную страницу и ввести там некоторые личные данные. Ссылка вела на адрес вида http://www.microsoft.com@ - после символа "@" следовал адрес хакерского сайта, страница на котором повторяла дизайн сайта Microsoft. Многие пользователи, не осведомленные о соответствующем формате URL, шли по этой ссылке и вводили запрашиваемые данные, думая, что находятся на сайте Microsoft.

Кроме того, этот метод применялся для фальсификации содержимого некоторых сайтов, в частности, новостных. Чтобы пресечь такие акции в будущем, в Microsoft решили отказаться от поддержки описанного формата адресов.

Обсуждение этой статьи на форуме (new)