Какие "скрытые" страницы перенаправления используют некоторые веб-сайты при переходе по ссылкам?

Question

Я не уверен, как сформулировать эти вопросы. Давным- давно я читал на форуме о правиле, которое гласило, что пользователям нужно заменить http на hxxp в ссылках, чтобы сервер (или кто-то другой ) шпионил за ними. Я заметил, что на некоторых сайтах есть незаметная страница "перенаправления", через которую проходит пользователь после нажатия на ссылку, чтобы перенести его на другой сайт. О чем это?

Я просто использовал Slack.com и заметил, что там была ссылка на https://pr.to/example/ Когда я нажал на ссылку, я попал на промежуточную страницу (https://slack-redirect/link?url=https://pr.to/example/&v=3 или что-то в этом роде) и затем перейдите на последнюю страницу. Что это?

Я также заметил, что мой браузер обычно не отображал URL промежуточной страницы, когда я наводил курсор на ссылку (но иногда это происходило). Я использую последнюю версию Firefox. Разве подобный недостаток безопасности не переносится на страницу, отличную от той, которая указана в URL?

Answer 1

Перенаправления используются по разным причинам.

Одна из причин заключается в том, что это повышает конфиденциальность. Когда вы переходите по ссылке, ваш браузер отправляет реферер - сайт, с которого вы заходите. Это означает, что владелец сайта, на который вы собираетесь, точно знает, откуда вы пришли. Страница перенаправления между ними скрывает это. Скажите, что страница, которую вы просматриваете, ТАК. SO не использует редирект для ссылок. Это означает, что всякий раз, когда внешний сайт связан с SO, и вы переходите по этой ссылке, владелец внешнего сайта точно знает, с какого SO ответа (или вопроса) вы пришли на его сайт. Если бы на месте был редирект, третья сторона узнала бы, что вы пришли откуда-то на SO, но больше не откуда именно. Если использовался редирект SE, он мог только узнать, что вы пришли откуда-то из всей сети SE.

Другой причиной может быть безопасность. Некоторые сайты используют параметр GET для хранения идентификаторов сеансов (это было гораздо популярнее в прошлом, когда пользователи, не использующие файлы cookie, вызывали гораздо большую озабоченность). Передача идентификатора сеанса третьей стороне опасна, поскольку позволяет (временно) обойти учетную запись. Перенаправление решает эту проблему, не пропуская идентификатор сеанса через него.

Но есть и другие причины. Владелец сайта может захотеть отследить, какие ссылки нажимает пользователь. Обычно это невозможно. Перенаправление можно легко использовать, чтобы подсчитать, по какой ссылке нажимают и как часто.

Вы также можете отображать информационные страницы между ними. Это может быть сделано по разным причинам - чтобы уведомить пользователя о том, что он покидает ваш сайт (и о курируемом контенте), или отобразить дополнительную рекламу, когда пользователь все равно уходит.

Причины многообразны, и ни одна из них не является абсолютно плохой.

Есть несколько методов, которые могут использоваться, чтобы скрыть это на первый взгляд от пользователя.

<a href="redirect.php?url=example.org">example.org</a>

Обратите внимание, что в этом примере вы видите только example.org как ссылку, но на самом деле он идет к redirect.php?url=example.org . В этом случае вы можете увидеть это при наведении указателя мыши в углу браузера.

Однако вы также можете использовать JS, чтобы скрыть это:

<a href="#" onclick="javascript:window.location='redirect.php?url=example.org'">example.org</a>

Здесь ссылка основана на включении JavaScript в вашем браузере и использует его, чтобы привести вас в (скрытое) местоположение. Это можно увидеть, не наведя курсор мыши, а на источник страницы.

Есть еще лучшие способы скрыть это с помощью JS, которые становится все труднее обнаружить.

Это может быть использовано для обмана пользователей. Это одна из причин, почему укороченные URL-адреса стали нежелательными на многих платформах - потому что они используют одну и ту же технику перенаправления, пользователи не видят, где он заканчивается, а также потому, что вы не знаете, какую информацию сокращает URL-адрес Сервис треков от ваших пользователей.

Answer 2

Эти ссылки обрабатываются с использованием других технологий и не являются простым HTML. Технология, используемая на сайте, может сильно различаться: PHP, Javascript и т.д. Владелец / оператор сайта приложил усилия, чтобы ссылки выглядели как обычные ссылки, но их функциональность радикально отличается из-за базовых сценариев. К сожалению, даже при использовании простого HTML нет гарантии, что текст, который вы видите, на самом деле находится там, куда ведет вас ссылка.

Многие форумы предоставляют это перенаправление в качестве предупреждения своим пользователям о том, что они, возможно, нажали на что-то опасное и находятся вне контроля операторов форума. Вредоносный пользователь может опубликовать ссылку на вирус на форумах очень легитимного сайта. Ссылка может показаться законной, но такого рода предупреждения могут быть полезны и сообщают пользователю форума, где они на самом деле окажутся, и часто дают им шанс прервать их попытку перейти по ссылке.

Другие сайты будут использовать такой вид перенаправления как возможность получить последний доход от рекламы, поскольку они понимают, что теряют свою аудиторию.

В целом, эта технология не является злой или плохой по своей природе, она действительно зависит от владельца сайта и его применения / целей.

Это на самом деле не недостаток безопасности, это может быть воспринято как обманчивое или мешающее нормальным ожиданиям просмотра. К сожалению, как пользователь, у вас мало ресурсов, если вы знаете, что сайт использует их, вы можете отказаться от нажатия на внешние ссылки, которые будут генерировать эти страницы перенаправления. Вы также можете выбрать ручной ввод URL-адреса самостоятельно.

Answer 3

Я думаю, что вы смешиваете несколько вещей.

1. То, что вы видите в качестве ссылки на сайте, это просто текст. Это не обязательно связано с тем, куда идет ссылка. Пример: ссылка может гласить "видеть это на YouTube", но ссылка на «hacker.ru»
2. Когда вы наводите курсор мыши, вы видите реальный URL, который будет выполнен. Когда вы нажимаете, это то, что отправляет ваш браузер.
3. однако этот URL-адрес может быть простой HTML-страницей или HTML-страницей, которая автоматически перенаправляется на любую другую HTML-страницу, или может обрабатываться сервером и вызывать множество вещей, например, начало загрузки или запуск на еще один URL.
4. Каждая страница, которая загружается таким образом, может повторять любое перенаправление, пока вы (надеюсь) наконец-то не отобразите что-либо.

Каждый сервер в цепочке получает базовые данные о вас; это зависит от того, что ваш браузер позволяет им видеть. Как правило, это включает в себя тип и версию ОС, тип и версию браузера, а также, возможно, ваш идентификатор пользователя, приблизительное местоположение, идентификатор рекламы и некоторые другие вещи. В настоящее время большинство браузеров позволяют вам ограничивать это только браузером и версией ОС.

Я никогда не слышал об этой идее «hxxp», и я сомневаюсь, что она реальна, или если да, то она что-то меняет. Я думаю, что это сказка, но, может быть, кто-то еще может просветить нас там.

Answer 4

hxxp:// ссылки - это попытка предотвратить распознавание URL-адреса как ссылки. Так как это не настоящий протокол, подписчики автоматических ссылок, такие как поисковые системы, не будут распознавать такие ссылки как ссылки. Это может помочь с вопросами конфиденциальности (если кто-то не хочет, чтобы поисковая система знала, что он ссылается на определенную вещь из определенного места). Что еще более важно, это заставляет пользователя вручную копировать / вставлять и корректировать URL в адресной строке. Когда пользователь перемещается таким образом, браузер не будет предоставлять Referer, который иначе указал бы, откуда пользователь щелкнул ссылку, поэтому целевой сайт не будет знать, как посетитель нашел целевую страницу. Кроме того, такие ссылки не дают пользователю случайно перейти к чему-либо вредоносному.

Страницы перенаправления также имеют свойство скрывать Referer . Они также могут позволить владельцу перенаправления более легко собирать статистику о том, откуда люди приходят и куда уходят.

Если ссылка в цель не показать свое истинное предназначение при наведении на него, навигация фактически выполняется JavaScript, а не href атрибута на <a> элемента. Рассмотрим этот HTML-документ, например:

<html><head><title>Sketchy Site</title></head><body>
<a href="#" onclick="window.location.href = 'http://superuser.com';">Totally Legit Link</a>
</body></html>

Когда вы наводите указатель мыши на эту ссылку, ваш браузер покажет текущий путь плюс символ # в нижнем правом углу, но когда вы щелкнете по нему, вы попадете на домашнюю страницу Super User. Сюрприз!