Фишинг с помощью тега title
Разработчики мобильных браузеров уже давно пытаются стереть различия между сайтами и приложениями (да, я смотрю на тебя, PWA), и у них это вполне неплохо получается. Но всё таки остался ещё один концепт, который делает веб вебом и не даёт реализовать максимально сходный с нативным приложением пользовательский опыт — это URL в адресной строке браузера. Предлагаю узнать, как с этой проблемой справляется, скажем, китайский CM Browser.
Открываем Хабр, и видим, что по умолчанию в адресной строке отображается title страницы.
А чтобы увидеть URL, нужно тапнуть по адресной строке.
В принципе, понятно, как всё это работает. Теперь вопрос — это настоящий bitcoin.org, или нет? Даже зелёный замочек HTTPS в наличии.
На самом деле, этот сайт отобразил написанный мной небольшой скрипт (поменяйте параметр url, как ни странно, в URL и проверьте работу на других сайтах).
Таким образом, мы получаем достаточно простую в реализации и эффективную (особенно в сочетании с омографичным доменом) возможность для фишинга как минимум 50 миллионов пользователей. Надеюсь, Cheetah Mobile и родительская Kingsoft как можно скорее обратят внимание на эту проблему.
