Netcraft的反网络钓鱼工具栏上的突破启用IPv6的网络

在五月份,我发现了Netcraft的反网络钓鱼工具栏Firefox扩展,导致安全信息从一个网站将任何网站随后被装载在IPv6继承的问题。

上图显示了从网站的信息和信任等级分数的特征图像美国银行通过在拜访美国银行的网站后加载测试页继承。任何启用了IPv6的网站将继承先前加载仅支持IPv4的网站的信息。需要注意的是测试页面了PFS启用,但继承了美国的能力较小的银行。

一个真正的欺诈URL仍然会被封锁,作为主要阻挡功能,从功能显示此信息分开处理。然而,意在打消用户的咨询信息,他们正在访问他们认为网站他们可以很容易地通过其他网站尚未在工具栏的块列表复制。

这个问题表现出两个问题的工具栏是如何工作的:

  1. 它没有导航远离它时,清除以前的网站的安全信息。
  2. 据检索不到IPv6的网站信息。

通知Netcraft的有关问题后,他们发布的Netcraft的工具栏版本1.10.3上。在这个版本中,IPv6的决议,关于导致从IPv4服务器信息的客户端禁用显示支持IPv4 / IPv6双协议栈的Web服务器。Netcraft的服务本身托管在没有IPv6连接的环境中,这样的服务还不能进行IPv6的认识。

不能保证IPv4和IPv6可以由相同或甚至配置类似的web服务器处理。一台服务器可能被破坏,而另一台服务器将提供合法内容。对于IPv6网站来说,安全信息仍然是不正确的。

加载该字符串“[无资料字符串]”,导致我在一段时间看到的更有趣的JavaScript错误消息的问题的一个根本原因是misreferenced变量:“没有定义”。工具栏显然是有关于如果父母在这里的一些生存危机。当爸爸参考未能解决,先前加载网站的信息将保持在工具栏上。在工具栏的更新版本,消息“[无资料]”将正确显示仅支持IPv6的网站。

信息是IPv6的网站无法为Netcraft公司自己的服务器还不支持IPv6。这种访问任何网络上最流行的网站,包括Facebook,当大大限制了工具栏的用途谷歌,因为他们是通过IPv4和IPv6现在访问。yabo88软件下载

钓鱼网站是使用网址,以便在主网络钓鱼保护功能仍然会在IPv6的网站上的工作,即使在工具栏将显示在工具栏本身上的错误站点信息检测。在工具栏上的信息旨在安抚用户,他们已经抵达确实正确的网站上。

在Netcraft的安全信息的工具栏是不是在任何情况下被信任。对于每一个网站它请求安全信息有关,它检索它通过未加密的HTTP连接,而不是一个加密的HTTPS连接。HTTP页面的完整URL和HTTPS网页的域名都包含在未加密的连接,以检查该页面是否是欺诈。

工具栏从Netcraft返回的纯文本JSON响应消息可以被中间攻击者拦截并修改,以显示一切正常。或者,可以只是阻止响应,导致工具栏显示响应超时消息,而不是欺诈警告。

针对Firefox的工具栏Netcraft公司有12个000每周活跃用户,并认为每星期约500新的下载,根据Firefox插件门户。Netcraft公司的Chrome扩展有25级500每周的用户,根据Chrome网上应用店。

Netcraft的工具栏是第一个版本早在2005年,是创新的在它的时间。这是在的时候,Web浏览器没有配备网络的第一个反钓鱼对策之一内置恶意软件和欺诈防护服务。然而,仅仅在两年内工具栏上的发布,内置了钓鱼保护服务已经出现在Firefox,IE浏览器和Opera。有些可能是建立在从Netcraft的数据许可。工具栏的相关性一直保持减少的被遗忘至今。我已经安装了它在两台计算机上的我的家庭和工具栏往往只是显示消息“[限速命中]”,这是不是很信任,鼓舞人心。

工具栏的设计与它在2005年首次发布时的设计几乎没有区别。它获得了一些新的功能和提示,但在功能和视觉上,它是浏览器工具栏时代的产物。