我们擅长商业策略与用户体验的完美结合。
欢迎浏览我们的案例。
恶意软件作者和诈骗者已经滥用了一个 Firefox 当中的错误来捕获恶意网站上的用户信息已有 11 年。网络中充满恶意网站并不令人奇怪,但这些欺诈网站当中会有一些聪明的家伙利用浏览器厂商疏忽而实现的“小技巧”骗倒不少人,事实上这一问题自 2007 年 4 月就被首次报道,而到现在都没有被修复。
该漏洞的利用并不困难,只需要在源代码中嵌入一个恶意的 iframe,就可以实现在另一个域上发出 HTTP 身份验证请求,这导致 iframe 在恶意站点上显示身份验证模式,如下所示:
在过去的几年里,恶意软件作者,诈骗者一直在滥用这个漏洞来吸引被黑网站的用户,例如显示技术支持诈骗信息,进行广告欺诈,欺骗用户转向购买虚假礼品卡的网页,或干脆直接提供恶意软件。
但是,尽管技术社区一次又一次地报告了这个问题[1, 2, 3, 4, 5, 6, 7],但原因不明的是,问题一直没有修复,骗子们一直很乐意滥用它。
最新的滥用示例来自于今天再次报告该问题的用户,登录框跳出后,其中一个正试图强迫他安装可疑 Firefox 扩展程序。恶意页面打开了浏览器的全屏模式,然后网页跳出了虚假的 Windows 对话框(哪怕用户正在使用 Linux)。
因为这个登录对话框的原因,按 ESC 退出全屏或者点击选项卡中的窗口的关闭按钮都不起作用,点击登录对话框的关闭按钮或取消按钮,就会重新出现对话框,除非杀掉 Firefox 进程问题才会解决。
Mozilla 是一个开源项目,他们没有无限的资源来处理所有报告的问题,不过无论如何一个超过 11 年的安全隐患不应该被忽视。
(邯郸网站建设)
