Glem mus-over-link-tjek: Javascript-fidus vinder udbredelse blandt svindlere

Det er dog utroligt, så mange måder der er at være skurk på. Det er jo snart ikke til at vide sig sikker længere.

Lynx, we meet again... :-)

De fleste mailprogrammer, "hverken Googles Gmail eller Microsofts Outlook" men heller ikke Thunderbird, afvikler javascript koden.

Det kan således ikke bruges til phishing mails. Men mest på websider, der er inficeret .

Kedeligt at man ikke helt kan stole på statuslinjen. Men mon ikke de får rettet op på det nu?

Lidt tyndt øl synes jeg,
I øvrigt behøver du ikke at selecte elementet med en fuld søgning,
du har jo elementet til rådighed i this.

<a href="https://dinbank.dk&quot; onmouseover="this.href='https://dinbank.dk'&quot; onclick="this.href='https://www.google.com'">din bank</a>

Jeg er ikke enig I at man skal gøre noget ved det, det er en feature i javascript
at man kan ændre i DOM som man ønsker.

Jeg er ikke enig I at man skal gøre noget ved det, det er en feature i javascript
at man kan ændre i DOM som man ønsker.

Hvem ejer statuslinjen? Er det en system feature eller et side element?

Efterhånden er statuslinjen ikke længere et rigtigt side element. De fleste browsere tillader ikke pr. default, at du ændre i den. Så man kan godt argumenterer for, at den bør vise hvad der sker, når man trykker på linket.
Derfor tror jeg at vi vil se, at det bliver ændret af producenten.

...at features misbruges.
Det var fuldt forudsigeligt at hvis JavaScript KAN manipulere statuslinjen så vil nogen finde på at misbruge det.

Thumbs Up til Keld for at afsløre at det allerede bliver brugt.

...og kære udviklere, vil i ikke nok tænke på hvordan ting kan MISBRUGES når i koder en feature som ser smart ud???

Koden piller altså ikke i statuslinien som det nævnes flere gange her. Koden piller direkte i den adresse der skal skiftes til (HREF) - og det sker først i det øjeblik der klikkes på linket - indtil da er der det rigtige link i HREF.

Default browser-funktionalitet er blot at vise i statuslinien hvad der står i HREF - hvad kan browser-producenten gøre anderledes?

Google bruger netop dette "trick" på deres søgemaskine, så man forledes til at tro, at man klikker sig direkte ind på resultatet.
Prøv at holde øje med statuslinjen, når du klikker på et af søgeresultaterne...

...og det er skide-irriterende når man prøver at kopiere linket -- så irriterende, at nogen har lavet et Firefox plugin der stopper det.

Brug "åben i nyt vindue" eller "åben i nyt tab" - så fyres "onclick" ikke.

.. er generelt et uvæsen, da mobile enheder ikke kan skelne, og altid fyrer et klik af.
Noget man skal huske hvis man laver responsive design (ikke at det er noget ret mange kerer sig seriøst om!).

Det er lidt mere besværligt, men:

1. højreklik på linket
2. copy link location
3. kopier linket ind i browserens adresselinie
4. kontroller linket inden du trykker return

Nu ved jeg ikke med din browser. Men i Firefox til Android kan man se Uri hvis man laver et langt tryk på et link.

Man kan også højre klikke og vælge:
Open link in new tab
eller
Open link in new window
så er det url på siden og ikke javascriptets url som komme op.

Som flere har skrevet er det muligt at sikre sig ved at enten åbne linket i et nyt vindue eller at kopiere linkadressen og paste den ind i adressefeltet. Den sidste mulighed er den bedste, fordi den giver mulighed for et ekstra blik på linket før man går til adressen. (altså kun 'paste' IKKE 'paste and go'.) Skal man kritisere artiklen, må det blive for ikke udtrykkeligt at gøre opmærksom på den slags gode og lette praksisser.

Jeg vil mene at det tricks anvendelse er begrænset.
Hvilken gavn har man af at få en bruger til at klikke på et link på side A som fører over til en ondsindet side B, når side A i forvejen var inficeret og også kunne være ondsindet. Altså alt ondt der kan ske på side B kan også ske på side A.

Det eneste man kan opnå er at få brugeren til at tro, at han f.eks. er på paypal.com, men det afslører adresselinjen jo omgående.

Nu ved jeg ikke med din browser.

Nu var det en generel betragtning omkring mouseover, ikke kun i forbindelse med links.
Og når man laver webudvikling bør "ens egen" browser komme sidst i køen.

@Kjeld Flarup Christensen

Jeg ved nu ikke om det er af "begrænset anvendelse" hvis nu en side du ellers stoler fx har nogle banner reklamer med links i, så kan man jo kamuflere dem, så du tror du kommer til http://troværdig.side/ men i stedet kommer til http://evil_0-day.site/ som inficere din device når/ hvis du trykker. Og du ville jo ikke tænke videre over det for du stoler jo på den siden kommer fra... Jeg kunne nok også tænke på andre måder, men dette er bare en.

så kan man jo kamuflere dem, så du tror du kommer til http://troværdig.side/ men i stedet kommer til http://evil_0-day.site/ som inficere din device når/ hvis du trykker.

Min pointe er, at kan du lave denne kamuflage på en side, så kan du også gøre hvad http://evil_0-day.site måtte kunne gøre på den første side.

Et klik består af 'mouse-down' efterfulgt af 'mouse-up'. 'Mouse-down' viser 'on-click' url'en i status linien.
Så en tredie mulighed er at klikke på linket uden at slippe muse-tasten, og føre musen væk inden der slippes.