Фишинг.
Появилась такая новая фича в IE - Phishing
Filter называется. Как я понял, суть
проверки сводится к следующему: адрес
отправляется куда то в Microsoft, а там
решают - пытаются ли нас надуть или нет.
Очень полезная штука. Но по-моему (это
лично мое мнение, я его не навязываю
никому :) ), это просто сбор статистики
посещения страниц (такая же штука как и
PageRank в GoogleToolbar). Про GoogleToolbar и этот PageRank
разговор вообще особый. Если кто-нибудь
даст мне разумное объяснение тому, как поисковые
запросы Mail.Ru или например Яндекса
попали в список страниц выдаваемых Google
на соответствующие запросы(например
site:ya.ru или site:search.mail.ru), тогда я признаю
себя больным теорией заговора :)
Ну да ладно, а то я отвлекся от темы.
Один из способов обдурить пользователя
- это использование нестандартного
способа аутентификации (
нестандартного потому, что нет его в RFC
1738 Uniform Resource Locators ):
http://www.microsoft.com@www.badsite.com
Строчка сверху является типичным
примером попытки одурачить
пользователя. Если использовать эскейп-символы
для той части, которая следует за
знаком @, то попытка обмана становится
более реальной.
Смотрим на реакцию IE 7.0 Beta 2 и Firefox 1.5 на
подобные запросы ( в качестве www.badsite.com
был выбран сайт www.ya.ru )
| Internet Explorer 7 Beta 2 Preview |
 |
|
| Firefox 1.5 |
 |
IE просто радует :) А Firefox хоть и
поддерживает нестандартные штучки, но понятно
предупреждает пользователя и что
самое главное наиболее безопасный
ответ выбран по умолчанию. Хотя
можно и придраться: тип MessageBox'а у Firefox в
данной ситуации должен быть "Предупреждение",
а не "Подтверждение"...
Теперь про SSL
Сначала о маленькой и немного смешной
недоработке в IE:
Пытаясь зайти на Microsoft Discussions по SSL я
решил нажать на замочек рядом с
адресной строкой. Больше всего удивили
фразы Owner unverified и Location Unverified про www.microsoft.com
( очень похоже на ситуацию с неподписанными
DLL в Windows Vista December CTP ). Ну и потом еще я
не знаю, что за GTE Corporation идентифицирует
сайты и как она это делает (должно быть
известная контора раз Microsoft с ней работает,
но я впервые слышу о ней).
Далее я попытался зайти на https://www.google.ru.
Как оказалось, сертификат то выдан www.google.com,
а не www.google.ru. И Firefox, и
IE ругаются об этом, но каждый по своему
:).
Реакция Firefox'а:
Плюс один: Firefox попытался
предупредить пользователя. Жирный
минус: диалоговое окно совершенно
непонятно, хоть и написано на русском
языке: прочитав содержимое я хочу
прервать соединение (как мне советует
окошко), но не знаю на какую кнопку
диалогового окна нажимать. Я решил так:
раз OK выделена по умолчанию, то ее и
надо давить. Решение оказалось
неверным: Firefox загрузил страницу, надо
было жать "Отмена".
Реакция IE 7 Beta 2 Preview:
Английский язык - не мой родной, но
данная страница для меня более
информативна и понятна, чем тот
мессаджбокс в Firefox. Никакой
дополнительной ненужной информации и
сразу ясно на что нажимать, чтобы не
попасть в просак :)
Ну и напоследок про RSS
В Firefox такой возможности нет ( он
позволяет только собирать заголовки
постов из RSS в качестве закладок ). |