Chromium: Schaltfläche „Laden dieser Seite stoppen“ löscht URL aus URL-Leiste

Question 1

Dieses Verhalten ist beabsichtigt und vor einigen Jahren haben die Entwickler aller Browser große Anstrengungen unternommen, um die Anzeige einer Seite mit der falschen URL unmöglich zu machen. Dies war tatsächlich schon früher möglich, bis diese Technik von Malware verwendet wurde.

Das von Ihnen geforderte Verhalten stellt eine Sicherheitslücke dar. Wenn es möglich wäre, eine Seite mit der falschen URL anzuzeigen, könnte ein Angreifer die URL Ihrer Bank zusammen mit seiner eigenen Seite anzeigen und Sie so dazu bringen, Ihre Kontonummer und Ihr Passwort einzugeben, und dann alle Ihre Konten leeren. Dies ist tatsächlich passiert, bis diese Lücke geschlossen wurde.

Die Anzeige einer falschen URL ist nur auf der neuen Registerkarte möglich, wo dies automatisch geschieht. Der Grund dafür, dass es hier funktioniert, ist, dass keine echte Seite angezeigt wird. Es gibt also keinen Sicherheitsgrund, die eingegebene (falsche) URL nicht anzuzeigen.

Dieses Verhalten ist nicht nur Chromium vorbehalten. Jeder Browser, den ich kenne, macht genau dasselbe, weil das die sicherste Vorgehensweise ist.

Darüber hinaus haben die Browserentwickler es sogar unmöglich gemacht, dass ein angezeigter Dialog die Adressleiste verdeckt, da diese Technik von Angreifern sofort eingesetzt wurde, als es unmöglich wurde, die URL selbst zu ändern, um eine falsche Adressleiste vorzutäuschen.

Die einzige Lösung, die ich anbieten kann, ist, eine lange eingegebene URL zu kopieren Enter, bevor Sie auf klicken. Das mache ich bereits. Sie sollten sich angewöhnen, vorher CtrlAund zu klicken CtrlC , nur für den Fall.

So kann ein Angreifer die von Ihnen angeforderte Option nutzen, um an Ihre Bankanmeldedaten zu gelangen:

Das Add-on oder JavaScript-Skript des Angreifers erstellt eine eigene Website attacker.com/exploit, die genauso aussieht wie Ihre Bank, mit dem Unterschied, dass sie durch die Adressleiste verraten wird.
Der Angreifer hätte gerne die URL Ihrer Bank oder etwas sehr Ähnliches in der Adressleiste, kann dies aber nicht, da alle APIs, die dies tun, von den Entwicklern sorgfältig ausgemerzt wurden.
Der Angreifer ruft dann eine Website auf, deren URL sehr ähnlich ist oder deren Name exakt gleich angezeigt wird (Unicode-Tricks) wie die URL Ihrer Bank.
Diese Website existiert nicht, aber in der Adressleiste bleibt die falsche URL stehen. Zusammen mit der angezeigten Seite würde dies so aussehen, als ob Sie sich tatsächlich auf der Site Ihrer Bank befinden.
Du loggst dich ein und wenige Sekunden später sind alle deine Bankkonten geleert. Tschüss, all deine Ersparnisse. Die Bank behauptet zu Recht, dass das deine Schuld ist und gibt nichts zurück.

Answer

Dieses Verhalten ist beabsichtigt und vor einigen Jahren haben die Entwickler aller Browser große Anstrengungen unternommen, um die Anzeige einer Seite mit der falschen URL unmöglich zu machen. Dies war tatsächlich schon früher möglich, bis diese Technik von Malware verwendet wurde.

Das von Ihnen geforderte Verhalten stellt eine Sicherheitslücke dar. Wenn es möglich wäre, eine Seite mit der falschen URL anzuzeigen, könnte ein Angreifer die URL Ihrer Bank zusammen mit seiner eigenen Seite anzeigen und Sie so dazu bringen, Ihre Kontonummer und Ihr Passwort einzugeben, und dann alle Ihre Konten leeren. Dies ist tatsächlich passiert, bis diese Lücke geschlossen wurde.

Die Anzeige einer falschen URL ist nur auf der neuen Registerkarte möglich, wo dies automatisch geschieht. Der Grund dafür, dass es hier funktioniert, ist, dass keine echte Seite angezeigt wird. Es gibt also keinen Sicherheitsgrund, die eingegebene (falsche) URL nicht anzuzeigen.

Dieses Verhalten ist nicht nur Chromium vorbehalten. Jeder Browser, den ich kenne, macht genau dasselbe, weil das die sicherste Vorgehensweise ist.

Darüber hinaus haben die Browserentwickler es sogar unmöglich gemacht, dass ein angezeigter Dialog die Adressleiste verdeckt, da diese Technik von Angreifern sofort eingesetzt wurde, als es unmöglich wurde, die URL selbst zu ändern, um eine falsche Adressleiste vorzutäuschen.

Die einzige Lösung, die ich anbieten kann, ist, eine lange eingegebene URL zu kopieren Enter, bevor Sie auf klicken. Das mache ich bereits. Sie sollten sich angewöhnen, vorher CtrlAund zu klicken CtrlC , nur für den Fall.

So kann ein Angreifer die von Ihnen angeforderte Option nutzen, um an Ihre Bankanmeldedaten zu gelangen:

Das Add-on oder JavaScript-Skript des Angreifers erstellt eine eigene Website attacker.com/exploit, die genauso aussieht wie Ihre Bank, mit dem Unterschied, dass sie durch die Adressleiste verraten wird.
Der Angreifer hätte gerne die URL Ihrer Bank oder etwas sehr Ähnliches in der Adressleiste, kann dies aber nicht, da alle APIs, die dies tun, von den Entwicklern sorgfältig ausgemerzt wurden.
Der Angreifer ruft dann eine Website auf, deren URL sehr ähnlich ist oder deren Name exakt gleich angezeigt wird (Unicode-Tricks) wie die URL Ihrer Bank.
Diese Website existiert nicht, aber in der Adressleiste bleibt die falsche URL stehen. Zusammen mit der angezeigten Seite würde dies so aussehen, als ob Sie sich tatsächlich auf der Site Ihrer Bank befinden.
Du loggst dich ein und wenige Sekunden später sind alle deine Bankkonten geleert. Tschüss, all deine Ersparnisse. Die Bank behauptet zu Recht, dass das deine Schuld ist und gibt nichts zurück.

Question 2

Dies ist aufgrund der Funktionsweise des Webverkehrs nicht möglich. Jede Anforderung hat/benötigt einen resultierenden Status und kann nicht zustandslos sein. Aus diesem Grund entfernt Chromium die Adresse, mit der Sie eine Verbindung herstellen wollten (abgesehen vom Sicherheitsaspekt einer solchen Sache).

Wenn Sie eine Verbindung zu einer Domäne/IP anfordern, kann das Ergebnis beispielsweise lauten: 200 (Seite wurde geladen), 404 (nicht gefunden), 408 (Zeitüberschreitung) usw. Wenn Sie Ihre Anforderung abbrechen, bevor ein Status erreicht ist, ist es offensichtlich, dass der Browser aufgrund der Abbruchaktion kein Ergebnis/keine URL anzeigt und es keinen HTTP-Status-XXX-Code gibt, der für „abgebrochene Anforderung“ vorgesehen ist (Liste der HTTP-Anfragen).

Nichts ist unmöglich. Es gibt drei Möglichkeiten, dieses Problem zu lösen:

Erstellen Sie eine Erweiterung für die Angelegenheit
Patch für Chromium, um einen Status (nicht RFC) für abgebrochene Anfragen hinzuzufügen xxx(beachten Sie, dass der Aufbau von Chromium sehr lange dauert)
Verringern Sie den Standardwert timeout(408), dies istnicht möglich auf Chromium ohne Patchenwird diskutiertHierUndHiersowie.
- Bedenken Sie, dass dies zu anderen unerwünschten Effekten führen kann, wie z. B. zu Zeitüberschreitungen bei langsamen Sites.
- Beachten Sie auch, dass dies mit network.http.connection-timeouteiner entsprechenden Einstellung in Firefox möglich ist.

Answer

Dies ist aufgrund der Funktionsweise des Webverkehrs nicht möglich. Jede Anforderung hat/benötigt einen resultierenden Status und kann nicht zustandslos sein. Aus diesem Grund entfernt Chromium die Adresse, mit der Sie eine Verbindung herstellen wollten (abgesehen vom Sicherheitsaspekt einer solchen Sache).

Wenn Sie eine Verbindung zu einer Domäne/IP anfordern, kann das Ergebnis beispielsweise lauten: 200 (Seite wurde geladen), 404 (nicht gefunden), 408 (Zeitüberschreitung) usw. Wenn Sie Ihre Anforderung abbrechen, bevor ein Status erreicht ist, ist es offensichtlich, dass der Browser aufgrund der Abbruchaktion kein Ergebnis/keine URL anzeigt und es keinen HTTP-Status-XXX-Code gibt, der für „abgebrochene Anforderung“ vorgesehen ist (Liste der HTTP-Anfragen).

Nichts ist unmöglich. Es gibt drei Möglichkeiten, dieses Problem zu lösen:

Erstellen Sie eine Erweiterung für die Angelegenheit
Patch für Chromium, um einen Status (nicht RFC) für abgebrochene Anfragen hinzuzufügen xxx(beachten Sie, dass der Aufbau von Chromium sehr lange dauert)
Verringern Sie den Standardwert timeout(408), dies istnicht möglich auf Chromium ohne Patchenwird diskutiertHierUndHiersowie.
- Bedenken Sie, dass dies zu anderen unerwünschten Effekten führen kann, wie z. B. zu Zeitüberschreitungen bei langsamen Sites.
- Beachten Sie auch, dass dies mit network.http.connection-timeouteiner entsprechenden Einstellung in Firefox möglich ist.

Question 3

Gute Übung

Sie können sich dieses Ärgernis auf einfache Weise ersparen:
Drücken Sie einfach Ctrl Toder Ctrl N:,
öffnen Sie eine neue Registerkarte oder ein neues Fenster und geben Sie dort die neue URL ein.

Bei einer manuellen Unterbrechung ist keine Seite vorinstalliert und die URL wird nicht aus der Leiste gelöscht.

Fix

Wenn Sie das Problem beheben möchten, müssen Sie den Quellcode möglicherweise manuell patchen und für jedes Update neu kompilieren.

Möglicherweise ist es hilfreich, den Quellcode herunterzuladen, einen Fork zu schreiben und die Unterschiede auf jede der folgenden aktualisierten Versionen anzuwenden. Denken Sie jedoch daran, dass das aktuelle Verhalten dazu dient, Betrugsversuche zu verhindern. Daher die oben beschriebene bewährte Vorgehensweise.

Schlussbemerkungen (Tl;dr)

Ich weiß, dass es am Ende oft einfacher ist, unser Verhalten zu ändern, als die richtigen Programmeinstellungen zu finden … und das sollte nicht so sein …

Tatsache ist, dass es diesmal einen ernsthaften Grund gibt, der uns dazu veranlasst, unser Verhalten zu ändern, und dass dies als eine gute Vorgehensweise angesehen werden kann.

In diesem Fall besteht der Vorschlag nicht darin, einen Weg zu finden, das Verhalten des Programms zu ändern, egal wie, sondern (durch Drücken von nur zwei Tasten) unser Verhalten zu ändern, um potenzielle Risiken zu vermeiden.

Answer

Gute Übung

Sie können sich dieses Ärgernis auf einfache Weise ersparen:
Drücken Sie einfach Ctrl Toder Ctrl N:,
öffnen Sie eine neue Registerkarte oder ein neues Fenster und geben Sie dort die neue URL ein.

Bei einer manuellen Unterbrechung ist keine Seite vorinstalliert und die URL wird nicht aus der Leiste gelöscht.

Fix

Wenn Sie das Problem beheben möchten, müssen Sie den Quellcode möglicherweise manuell patchen und für jedes Update neu kompilieren.

Möglicherweise ist es hilfreich, den Quellcode herunterzuladen, einen Fork zu schreiben und die Unterschiede auf jede der folgenden aktualisierten Versionen anzuwenden. Denken Sie jedoch daran, dass das aktuelle Verhalten dazu dient, Betrugsversuche zu verhindern. Daher die oben beschriebene bewährte Vorgehensweise.

Schlussbemerkungen (Tl;dr)

Ich weiß, dass es am Ende oft einfacher ist, unser Verhalten zu ändern, als die richtigen Programmeinstellungen zu finden … und das sollte nicht so sein …

Tatsache ist, dass es diesmal einen ernsthaften Grund gibt, der uns dazu veranlasst, unser Verhalten zu ändern, und dass dies als eine gute Vorgehensweise angesehen werden kann.

In diesem Fall besteht der Vorschlag nicht darin, einen Weg zu finden, das Verhalten des Programms zu ändern, egal wie, sondern (durch Drücken von nur zwei Tasten) unser Verhalten zu ändern, um potenzielle Risiken zu vermeiden.

Chromium: Schaltfläche „Laden dieser Seite stoppen“ löscht URL aus URL-Leiste

Antwort1

Antwort2

Antwort3

Gute Übung

Fix

Schlussbemerkungen (Tl;dr)

verwandte Informationen