Sami vždycky říkáme, abyste si dávali pozor na adresy webů. Při phishingových útocích jsou někdy až značně věrně napodobovány přihlašovací stránky bankovnictví a jiných služeb, které mají za cíl nás zmást, abychom jim předali své přihlašovací údaje ke skutečnému bankovnictví apod. Prohlížeče se ostatně prostřednictvím řádku snaží zvýraznit důvěryhodné a nedůvěryhodné weby. V ideálním případě víte, která adresa je správná a před přihlášením si ověříte, že jste na správné adrese. Jenže jak poukazuje Mozilla, weby jsou dnes schopné námi manipulovat. Tzv. datové adresy URL totiž mohou obsahovat legitimní adresy. Méně znalý člověk pak snadno nabude dojmu, že je na správné adrese. Protože jsou útoky sofistikovanější, je potřeba se bránit dalšími prostředky.
Omezení zneužití datových URL
Nezisková organizace Mozilla proto rozhodla, že Firefox 58 zabrání webovým stránkám v ovlivňování obsahu datových adres URL. Prohlížeč se bude chovat podle nastavených pravidel. Konkrétně bude zásah do řádku blokován v těchto případech:
- Stránka chce změnit datovou URL použitím window.open(“data:…”).
- Stránka chce změnit datovou URL použitím window.location = “data:…”.
- Stránka chce změnit datovou URL klepnutím na (včetně použití kombinace ctrl+klepnutí, ‘open-link-in-*’ apod.).
- Stránka chce změnit datovou URL použitím přesměrování 302 na „data:…“.
- Stránka chce změnit datovou URL použitím metapřesměrováním na „data:…“.
- Externí aplikace jako např. Thunderbird chce přejít na datovou URL v prohlížeči.
V těchto případech budou tedy pokusy o změnu blokovány. Že proběhlo zablokování nedovoleného pokusu o změnu datové URL běžný člověk vědět nepotřebuje, ti náročnější ale příslušnou informaci najdou v konzole. Firefox 58 by měl vyjít 23. ledna.