谷歌整了幾個新域名，讓我們距離網絡詐騙更近了一步。

隨手注冊一個域名放到網上，就可以得到極客們的夸夸？

(資料圖片)

這么個簡單的事，就能讓大家交口稱贊，其實是因為這哥們用自己的實際行動，抵制了谷歌最近這個犯渾的操作。。。

它開放了一個類似于 .com、.cn 的頂級域名：

.zip。

這波操作，搞得咱們以后在網上下東西，聊天得更加小心了。

雖然我相信大家現在不太會去網頁端里下載東西，但谷歌這通操作完，指不定回頭你就要吃癟了。

在聊這個全新的頂級域名前，托尼先來告訴大家，這玩意到底可以動什么手腳。

看看這兩個鏈接有什么區別：

看起來是不是差不多？

但其實，前一個是指向 Github 上一個項目里的某個軟件壓縮包。

而后者前面那一大串都是障眼法，它真正指向的是一個叫做 v1271.zip 的網站。

至于這網站里藏了啥玩意，那我們可就不清楚了，指不定就是個古早味釣魚網站。

總之就是一整個風險拉滿。

等等，這玩意看起來不是個 github 上的文件鏈接嗎，怎么成了另一個人的釣魚網址呢？

其實這就和電腦如何識別網址有關了：

在訪問網絡的時候，服務器會把 "https://" 和 "@" 之間的內容給當作用戶的信息，而不是真實的網址。

被當作網址的，是 "@" 后面的一連串信息。

所以 https://google.com@bing.com 這個網址其實訪問的是 bing.com ，中間的 google.com 因為被‘ @ ’夾在中間所無視。

但是如果我們在 "@" 前面再加個 ‘ / ’ 正斜杠，電腦就會把正斜杠后面的內容當做網址路徑的一部分。

簡單來說，有 ‘ / ’的話，‘ @ ’就沒用了。

舉個例子，https : //google.com/search@bing.com 這個網址就不會落在 Bing ，而是訪問到 Google 上。

這下問題就來了。

剛才那個網站是怎么做到，繞過這個限制的？明明它也有正斜杠啊。

其實仔細看能發現，這個正斜杠長的不太一樣。因為在咱們常用的字符列表里，有另外兩個和 / 非常像的字符：

U+2215 （ ∕ ）和 U+2044 （ ∕ ）

它們在 Chrome 瀏覽器中不被認為是真正的正斜杠，也不像正斜杠那樣，能讓‘@’變沒用。

所以才能實現一整個偷梁換柱，讓假網址變的很像真網址。

雖然說多看幾眼咱們可以發現這個假斜杠的寬度不太一樣，而且仔細看的話，會發現 Chrome 也對真實訪問的網址用顏色做出了標識。

但是呢！在電子郵件里，‘@’的字號可以被設置到最小，來實現一個瞞天過海。

你品品下面這張圖。

來自海外安全人員的測試

所以啊，對于谷歌這波操作，我是真沒整明白。。。

這事得追溯到 2023 年 5 月 15 號，谷歌開放出了一批新的頂級域名（ TLD ）給大家注冊。

這些頂級域名就像是各個網站頁面們的 " 小區號 " ，比如 .com、.org 、.cn 、.edu 這些都是。

互聯網發展了這么多年，大家對網址的需求也賊多。為了能讓大家都有足夠能用的網址，互聯網運營商會提供各種各樣的頂級域名來讓大家購買。

而在這回被放出來的頂級域名里，就有. zip的身影（同時開放的還有 . dad.phd.prof.esq.foo.mov 這些 ）。

之后，咱們就可以注冊各種以 zip 結尾的網址，比如說什么 setup.zip 啊，前面提到的 v1271.zip 都是如此。

本來到這一步其實事情其實也還好，大家伙都是擅長網絡沖浪的高手，也不至于看到個網站就打開了。

但壞就壞在，這玩意放網址里，長得太像一個可以下載的壓縮文件了，誰還沒下過幾個 zip 安裝包啊。

而且危害還不止如此。

這年頭的軟件們都喜歡給咱們輸的文字版網址，自動生成一個可以點擊的超鏈接，所以它的危害性能再上一層。

比如微信就可以把 . com 結尾的、長得像網址的東西轉換成鏈接，雖然目前還沒識別 . zip 這個頂級域名，但是可能也就是時間問題。

這就意味著，未來我們在聊天、發郵件、找攻略的時候，遇到的所有 XXX.zip 都可能變成一個可以點擊的鏈接。

咱們就舉個例子吧。想象一下咱們在找資源的時候，可能會看到好心人這樣介紹 :

這種時候如果有人惡意注冊了 download.zip這個域名的話，就會導致這段話里的 donwload.zip 變成一個可以立刻點擊的鏈接。。。那萬一路過的群眾如果點擊一下這個鏈接，打開的東西可能就不是咱們想要的資源，而是一個惡意文件或者是網頁。

風險一整個拉滿。

所以，在這些本意方便大家的技術疊加之下，. zip 這個域名的危險性被再一次放大。

不過呢，這事其實也不是那么容易碰到的，而且網上也有不少大佬用這個域名做了很多有意思的事情，自愿當起了 " 白衣騎士 " 。

比如文章開頭里提到的夸夸，就是在感謝一位叫 Alex 的大佬，他注冊下來了 setup.zip 這個域名，用來宣傳 . zip 的危害性。

也有老哥為了讓大家更直觀的認識到 .zip 可能帶來的危害，在自己的 zip 域名上設計了一個模仿 WinRAR 的界面。

你還別說，我覺得這有鼻子有眼的頁面還真的能騙到人

甚至還有人為了一勞永逸，做了一個 Chrome 插件，用來禁止瀏覽器訪問 . zip 和 . mov 域名。雖然說對咱們這樣的互聯網用戶來說，去論壇上找資料的情況已經不多了。

但無論如何，網上沖浪還是要注意安全，不該點的鏈接不要瞎點。

也祝愿大家別和我一樣，被黑客一秒盜走了賬號密碼。。。

宙世代

宙世代

ZAKER旗下Web3.0元宇宙平臺

智慧云

智慧云

ZAKER旗下新媒體協同創作平臺

相關標簽谷歌chrome互聯網google騎士

相關閱讀

從“超大火力”到“智能控火”，火王用科技致敬廚房

太平洋科技3小時前

大模型乘風破浪 AI打通應用落地渠道

21世紀經濟報道23小時前

AI浪潮席卷 行業生態再造

21世紀經濟報道23小時前

顯卡銷量崩了 出貨量暴降背后：越來越貴降價不現實 英偉達一家獨大

快科技15小時前

22.5 萬元！小鵬 G6 預售價驚艷全場，但仍逃不過「翻車」命運

愛范兒昨天

卷瘋！國產帶頭殺價 4TB SSD被殺至969元：閃存、性能沒得說

快科技16小時前

蘋果M2 MacBook Air 13英寸降價了：8999元起售

快科技16小時前

都知道是淘汰賽，但誰都不想被淘汰

汽車商業評論17小時前

拒絕直男風！盤點618少女心爆棚的電競好物

太平洋科技昨天

小桌面也能有頂級好聲音！惠威桌面音箱帶你暢享音樂

太平洋科技昨天

今年最火的耳機，為什么是耳夾式耳機？

讀覽精華16小時前

通用、福特、特斯拉，北美三大統一充電標準

汽車商業評論17小時前

AI浪潮席卷，行業生態再造

21世紀經濟報道昨天

歐盟批準81億歐元公共資金支持芯片研發，首批產品2025年面市

36氪昨天

AI創作廣告文案等同2.47年工作經驗，且消費者無法區分

36氪昨天

最新評論

沒有更多評論了

差評

訂閱

覺得文章不錯，微信掃描分享好友

熱門推薦

今日最佳：你好，歡迎來到天庭。差評谷歌整了幾個新域名，讓我們距離網絡詐騙更近了一步。差評聊一聊：端午節想好去哪玩了么？差評Blockchain News