谷歌最近開放了一個(gè)類似于 .com、.cn 的頂級(jí)域名：.zip。而這一動(dòng)作，無疑引發(fā)了網(wǎng)友們的熱切關(guān)注，因?yàn)楣雀璧倪@通操作可能潛在地加大了網(wǎng)友們的沖浪風(fēng)險(xiǎn)或網(wǎng)頁資料的下載風(fēng)險(xiǎn)。一起來看看本文的解讀和分析。

隨手注冊(cè)一個(gè)域名放到網(wǎng)上，就可以得到極客們的夸夸？

這么個(gè)簡(jiǎn)單的事，就能讓大家交口稱贊，其實(shí)是因?yàn)檫@哥們用自己的實(shí)際行動(dòng)，抵制了谷歌最近這個(gè)犯渾的操作……

它開放了一個(gè)類似于 .com、.cn 的頂級(jí)域名：

.zip。

這波操作，搞得咱們以后在網(wǎng)上下東西，聊天得更加小心了。

雖然我相信大家現(xiàn)在不太會(huì)去網(wǎng)頁端里下載東西，但谷歌這通操作完，指不定回頭你就要吃癟了。

在聊這個(gè)全新的頂級(jí)域名前，托尼先來告訴大家，這玩意到底可以動(dòng)什么手腳。

看看這兩個(gè)鏈接有什么區(qū)別：

看起來是不是差不多？

但其實(shí)，前一個(gè)是指向 Github 上一個(gè)項(xiàng)目里的某個(gè)軟件壓縮包。

而后者前面那一大串都是障眼法，它真正指向的是一個(gè)叫做 v1271.zip 的網(wǎng)站。

至于這網(wǎng)站里藏了啥玩意，那我們可就不清楚了，指不定就是個(gè)古早味釣魚網(wǎng)站。

總之就是一整個(gè)風(fēng)險(xiǎn)拉滿。

等等，這玩意看起來不是個(gè) github 上的文件鏈接嗎，怎么成了另一個(gè)人的釣魚網(wǎng)址呢？

其實(shí)這就和電腦如何識(shí)別網(wǎng)址有關(guān)了：

在訪問網(wǎng)絡(luò)的時(shí)候，服務(wù)器會(huì)把“https://”和“@”之間的內(nèi)容給當(dāng)作用戶的信息，而不是真實(shí)的網(wǎng)址。

被當(dāng)作網(wǎng)址的，是“@”后面的一連串信息。

所以 https://google.com@bing.com 這個(gè)網(wǎng)址其實(shí)訪問的是 bing.com ，中間的 google.com 因?yàn)楸弧瓳’夾在中間所無視。

但是如果我們?cè)凇癅”前面再加個(gè) ‘/’ 正斜杠，電腦就會(huì)把正斜杠后面的內(nèi)容當(dāng)做網(wǎng)址路徑的一部分。

簡(jiǎn)單來說，有 ‘ / ’的話，‘@’就沒用了。

舉個(gè)例子，https ://google.com/search@bing.com 這個(gè)網(wǎng)址就不會(huì)落在 Bing ，而是訪問到 Google 上。

這下問題就來了。

剛才那個(gè)網(wǎng)站是怎么做到，繞過這個(gè)限制的？明明它也有正斜杠啊。

其實(shí)仔細(xì)看能發(fā)現(xiàn)，這個(gè)正斜杠長(zhǎng)的不太一樣。因?yàn)樵谠蹅兂Ｓ玫淖址斜砝?，有另外兩個(gè)和/非常像的字符：

U+2215（∕）和U+2044（∕）

它們?cè)贑hrome瀏覽器中不被認(rèn)為是真正的正斜杠，也不像正斜杠那樣，能讓‘@’變沒用。

所以才能實(shí)現(xiàn)一整個(gè)偷梁換柱，讓假網(wǎng)址變的很像真網(wǎng)址。

雖然說多看幾眼咱們可以發(fā)現(xiàn)這個(gè)假斜杠的寬度不太一樣，而且仔細(xì)看的話，會(huì)發(fā)現(xiàn) Chrome 也對(duì)真實(shí)訪問的網(wǎng)址用顏色做出了標(biāo)識(shí)。

但是呢！在電子郵件里，‘@’的字號(hào)可以被設(shè)置到最小，來實(shí)現(xiàn)一個(gè)瞞天過海。

你品品下面這張圖。

來自海外安全人員的測(cè)試：

這就是它實(shí)現(xiàn)惡意攻擊的方式。通過假的正斜杠+@字符的方式，將虛假的. zip 域名給偽裝成一個(gè)正規(guī)下載文件。

所以啊，對(duì)于谷歌這波操作，我是真沒整明白……

這事得追溯到 2023 年 5 月 15 號(hào)，谷歌開放出了一批新的頂級(jí)域名（ TLD ）給大家注冊(cè)。

這些頂級(jí)域名就像是各個(gè)網(wǎng)站頁面?zhèn)兊摹靶^(qū)號(hào)”，比如 .com、.org 、.cn 、.edu 這些都是。

互聯(lián)網(wǎng)發(fā)展了這么多年，大家對(duì)網(wǎng)址的需求也賊多。為了能讓大家都有足夠能用的網(wǎng)址，互聯(lián)網(wǎng)運(yùn)營商會(huì)提供各種各樣的頂級(jí)域名來讓大家購買。

而在這回被放出來的頂級(jí)域名里，就有.zip 的身影（同時(shí)開放的還有. dad.phd.prof.esq.foo.mov 這些）。

之后，咱們就可以注冊(cè)各種以 zip 結(jié)尾的網(wǎng)址，比如說什么 setup.zip 啊，前面提到的 v1271.zip 都是如此。

本來到這一步其實(shí)事情其實(shí)也還好，大家伙都是擅長(zhǎng)網(wǎng)絡(luò)沖浪的高手，也不至于看到個(gè)網(wǎng)站就打開了。

但壞就壞在，這玩意放網(wǎng)址里，長(zhǎng)得太像一個(gè)可以下載的壓縮文件了，誰還沒下過幾個(gè) zip 安裝包啊。

而且危害還不止如此。

這年頭的軟件們都喜歡給咱們輸?shù)?strong>文字版網(wǎng)址，自動(dòng)生成一個(gè)可以點(diǎn)擊的超鏈接，所以它的危害性能再上一層。

比如微信就可以把. com 結(jié)尾的、長(zhǎng)得像網(wǎng)址的東西轉(zhuǎn)換成鏈接，雖然目前還沒識(shí)別. zip 這個(gè)頂級(jí)域名，但是可能也就是時(shí)間問題。

這就意味著，未來我們?cè)诹奶?、發(fā)郵件、找攻略的時(shí)候，遇到的所有 XXX.zip 都可能變成一個(gè)可以點(diǎn)擊的鏈接。

咱們就舉個(gè)例子吧。想象一下咱們?cè)谡屹Y源的時(shí)候，可能會(huì)看到好心人這樣介紹:

這種時(shí)候如果有人惡意注冊(cè)了 download.zip 這個(gè)域名的話，就會(huì)導(dǎo)致這段話里的 donwload.zip 變成一個(gè)可以立刻點(diǎn)擊的鏈接……

那萬一路過的群眾如果點(diǎn)擊一下這個(gè)鏈接，打開的東西可能就不是咱們想要的資源，而是一個(gè)惡意文件或者是網(wǎng)頁。

風(fēng)險(xiǎn)一整個(gè)拉滿。

所以，在這些本意方便大家的技術(shù)疊加之下，. zip 這個(gè)域名的危險(xiǎn)性被再一次放大。

不過呢，這事其實(shí)也不是那么容易碰到的，而且網(wǎng)上也有不少大佬用這個(gè)域名做了很多有意思的事情，自愿當(dāng)起了“白衣騎士”。

比如文章開頭里提到的夸夸，就是在感謝一位叫 Alex 的大佬，他注冊(cè)下來了 setup.zip 這個(gè)域名，用來宣傳. zip 的危害性。

也有老哥為了讓大家更直觀的認(rèn)識(shí)到 .zip 可能帶來的危害，在自己的 zip 域名上設(shè)計(jì)了一個(gè)模仿 WinRAR 的界面。

你還別說，我覺得這有鼻子有眼的頁面還真的能騙到人：

甚至還有人為了一勞永逸，做了一個(gè) Chrome 插件，用來禁止瀏覽器訪問. zip 和. mov 域名。

雖然說對(duì)咱們這樣的互聯(lián)網(wǎng)用戶來說，去論壇上找資料的情況已經(jīng)不多了。

但無論如何，網(wǎng)上沖浪還是要注意安全，不該點(diǎn)的鏈接不要瞎點(diǎn)。

也祝愿大家別和我一樣，被黑客一秒盜走了賬號(hào)密碼……

圖片、資料來源：

• https://www.freedidi.com/9481.html
• https://mrd0x.zip/index.html
• File Manager
• https://medium.com/@bobbyrsec/the-dangers-of-googles-zip-tld-5e1e675e59a5
• https://www.reddit.com/r/programming/comments/13fsvl5/the_zip_tld_sucks_and_it_needs_to_be_immediately/?onetap_auto=true
• https://www.wangan.com/p/11v75df801ff3176
• https://www.alexanderjaeger.de/setup-zip/