אייר

חטיפת קישורים

Lea Cohen 10 תגובות

מחבר המאמר חטיפת קישורים ב-100 תווים גילה שניתן “לחטוף” קישור, ולהעביר את המשתמש למקום אחר ממה שהקישור היה אמור. מתברר ש-JavaScript מאפשר לשנות את מאפיין ה-href אחרי שמקליקים עליו. כלומר, כשמשתמש מעביר את העכבר על הקישור, תופיע לו בסטטוס-בר הכתובת הכתובה ב-href של הקישור, אולם לאחר ההקלקה, פונקציית JS המחוברת לאלמנט ה-a הנ”ל, תשנה את מאפיין ה-href ותשלח אותו לאן שבא לה.

לי נראה, שאפשר להתגבר על זה אם מתרגלים לפתוח קישורים בטאב חדש – באופן הזה, ה-JS לא מצליח לרוץ ולשנות את הקישור.

בכל מקרה, המחבר (שלא מצאתי את שמו אפילו בדף ה”אודות” שלו…) פנה לדפדפנים כדי שיטפלו בבעיה. נראה מי יתייחס לזה.

10 תגובות על “חטיפת קישורים

  1. תחום הפישינג הרבה יותר רחב כיום, בעיקר בשל ריבוי האפשרויות והדפדפנים.

    מתקופה לתקופה אני מבחין בשלל דרכים להסוות את ההפניות הזדוניות הללו.

    ארצה להוסיף 2 שמות של תוספים שמשרתים אותי כ 4 שנים ומאפשרים לי בקלות לזהות הפניות בעייתיות כאלו, גם כאשר אני לוחץ עליהם בטעות.

    מדובר ב NOSCRIPT וב WOT

    להגיב

    1. מנשה, תודה לך על ההמלצות! לא הכרתי את הכלים האלה.
      למען אלה שכמוני לא הכירו אותם, מדובר בשני תוספים לפיירפוקס – WOT מסמן אילו אתרים ראויים לאמון, ו-noscript מגן מפני XSS והפעלת כל מיני JS, Java ו-פלאש ע”י אתרים שאיננו בוטחים בהם.

      להגיב

      1. שמחתי לעזור לאה.
        לא ממש ידעתי אם מותר לקשר לכן נמנעתי מלקשר אליהם.

        אני נוטה לדרג אתרים רבים וכמו כן להנות משאר הדירוגים

        להגיב

        1. תיארתי לעצמי כך, מנשה (לגבי הקישורים), ואני מעריכה את זה.

          להגיב

    1. תודה על ההערה, חתול 🙂
      אבל יש עוד הבדלים בין הקוד שלך לשלו: הקוד שלו הוא unobtrusive, וגם מקיף את כל הקישורים בדף.
      גישות שונות – אורכי קוד שונים 🙂

      להגיב

  3. חשוב לזכור שיש השלכות למניעת אירועי onclick על קישורים. אתר טוויטר, למשל, נעזר ב־onclick כדי לטעון ב־ajax את תוכן הדף שהשתנה (ולעדכן את שורת הכתובת בהתאם באמצעות History API), כך שלא מתבצעת טעינה מלאה של הדף כאשר לוחצים על הקישור ומכאן הוא שומר על חווית שימוש טובה יותר. כאשר לוחצים על הקישור עם כפתור העכבר האמצעי או הימני, הקישור הקיים הנו קישור תקין לכל דבר (ולא למשל קישור javascript או סתם קישור חסר משמעות שלא מוביל לשום מקום) ובכך מתאפשרת פתיחת אותו הקישור בלשונית חדשה שאכן היא הפעולה המבוקשת. גם בג’ימייל למשל משתמשים בטכניקות דומות, אם כי שם הרבה יותר מסורבל להביט על הקוד.

    חסימת פעולת ההפניה עלולה להיות הרסנית עבור הרבה אתרים לגיטימיים, אלא אם היא תקושר לאפשרות החסימה של טעינה חוזרת והפנייה שקיימת בדפדפן פיירפוקס מזה זמן רב.

    להגיב

    1. הי תומר

      המחבר של המאמר דווקא מתייחס להיבט הזה. הוא מודע לכך שיש אתרים שמשתמשים בארועי Onclick על קישורים בצורה לגיטימית, וחסימה של זה עלולה לקלקל אותם.
      מה שהוא מציע זה שהדפדפן יתריע כאשר הקישור לוקח אותך לדומיין אחר ממה שכתוב ב-href. לי זה נשמע הגיוני. מה אתה אומר?

      להגיב

      1. הגיוני, אבל לא פרקטי. אף אחד לא ישמח לקבל התרעות מיותרות מהדפדפן, ובמקרים מסוימים עודף ההגנה הזה רק ישמש להרגשת הגנה מוטעית אצל המשתמש, ולגופים זדוניים שיחפשו דרכים לעקוף את ההגנה.

        דרך יעילה יותר היא להציג התרעה לא לפי האירוע שמקושר אלא לאתרים שמפנים את המשתמש לאתר אחר ולא הצהירו מראש שפעולה זו תקינה. זה אמנם לא ימנע ממך “לרמות” אותנו, אבל לפחות נוכל לצמצם את הסיכוי שזה יקרה ללא ידיעת מנהלי האתר.

        להגיב

        1. אני לא בטוחה שהבעיה שלנו נובעת מחטיפת קישורים שמתרחשת ללא ידיעת מנהלי האתר, אז לא יודעת אם הדרך שאתה מציע היא אכן יעילה יותר.
          אבל אני מסכימה איתך שהתראות מיותרות הן גם מרגיזות, וגם נותנות תחושת בטחון מוטעית.
          נראה שזה נושא לא פשוט, ולא ברור אם יש לזה פתרון, אבל אולי מאמרים כאלה לפחות יכולים לעורר קצת מודעות בקרב חלק מהגולשים…

          להגיב

כתבו תגובה

כתובת הדוא"ל שלכם לא תוצג.

Accessibility by WAH