幹壞事是進步最大的原動力
是一篇 2017 年的文章,前幾天在 Hacker News 上重新被提出來:「The Line of Death (2017) (textslashplain.com)」。
文章開頭在講瀏覽器 UI 的信任區,這條線以上是 native UI,以下是網站可以任意操控的內容:
所以 UI 上面有些小細節讓你區分,但這其實對不是專精 phishing 的人很不友善:
另外當然就會提到 browser-in-a-browser (以及 picture-in-picture) 類的 phishing 了:
另外提到了 Fullscreen API,這使得信任區間變成 0:
提到 Fullscreen API 所以就去翻資料,意外發現 IE11 居然支援這組 API,雖然是帶 ms 的 prefix,而且不支援一些輔助性的功能 (像是傳回 Promise object)。
這些 UI 與 security 類的問題,主要還是得考慮到使用者未必那麼熟悉,以及就算有經驗的人也很有可能不小心中獎...
作者 Eric Lawrence 現在在 Google Chrome team 裡,寫了一篇文章講到瀏覽器上 UI 設計與安全性的問題:「The Line of Death」。
從一開始會假設紅線以上是可信任的:
後來有些操作跨過這條線 (左邊),於是就開始有很 tricky 的方法 (右邊):
甚至反過來利用 icon 讓使用者誤會是表示有訊息要通知使用者:
另外是直接惡搞,假裝是另外一個視窗:
最新的方法是利用 HTML5 的 Fullscreen API 直接搞定所有事情:
花樣愈來愈多了...
起於去年十一月時,有人在白宮的 We the People 網站上發起建立死星的請求 XDDD
該份請願書在「Secure resources and funding, and begin construction of a Death Star by 2016.」。依照規定,請願超過兩萬五千人後,白宮必須給予正式的回覆。
於是... 白宮就正式回覆了 XDDD 回覆是由 Paul Shawcross (Chief of the Science and Space Branch at the White House Office of Management and Budget) 掛名。BBC 中文網給了很短的說明 (不過把重點都提到了):「美國未批准修建星球大戰式太空站」。
在回覆內容中,標題的「This Isn't the Petition Response You're Looking For」是有梗的... 可以參考 IMDB 對 Star Wars 的名言錄:「These aren't the droids you're looking for.」。
條列式列出三個政府反對的原因,第一條還很正經解釋預算問題。第二條就很正經的歪掉:
The Administration does not support blowing up planets.
而第三條直接說「啊這東西沒用啦~」:
Why would we spend countless taxpayer dollars on a Death Star with a fundamental flaw that can be exploited by a one-man starship?
解釋完後,後面就在推廣 ISS 與最近的成就... XD