提醒 V 友, 防不胜防的钓鱼网址

这个服气，一点也看不出来。。。

确实要注意啊

Safari 大法好

@abmin521 我估计 @lilifenghao44 和我 50 楼的意思一样，就是点击链接栏没发直接看到证书，要进入开发者工具才能看到，非常麻烦。

@justfun
@kava
@Aquamarine 如果这样说，我完全被钓鱼了

@Jacky001 我也一样，因为地址栏看不到证书了，没法肉眼确认。刚刚搜索了才知道新版 Chrome 在哪儿看证书。

首先要喷 Chrome ，检查证书居然要 F12 ，真心脑残的改动，以前多方便点一下就能看到了

另外 EDGE 是能在左下角显示正确的链接，鼠标移上去就能看到了
Chrome GGWP

@Aquamarine 不是，只是 Edge 没有选择显示一个用户不认识语言的域名名字。

@Jacky001 我不会英文，但我还是先用翻译。

用 chrome 打开 直接出现以下提示： 表示钓不到鱼

This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/

This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website.

Please click here to return to the blog post on wordfence.com discussing this issue.

This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here.

@peng2e #70 这是测试网页吧，真搞个高仿就不好说了

为啥我 Chrome 是这个效果，我记得之前还是能支持 punycode 的显示的。。。现在那几个 emoji 域名也全部都是原始字符了。。。。
http://i1.piimg.com/567571/18ea34fc4f28a70a.png

我也来说两句
以前看过一个帖子，如何将 xss 的 js 地址缩短。域名当然越短越好，但是毕竟域名要砸钱，而且很难拿到很短的。那么可以从浏览器打主意。
首先是用中文等字符，酱.io 只要 5 个字符(是 5 吧？)，而注册的域名却是长域名，便宜。
除了.以前的可以缩减，之后的也可以，比如著名的免费域名.ml ，可以缩减为.㎖，部分浏览器会将㎖解析为 ml 。就像把 www 。 baidu 。 com 解析为 www.baidu.com 那样。

所以，你们可以试试访问这个地址 http://酱.㎖
年久失修，地址内容没了，不过不影响。

@sola97 这个和页面是不是高仿没有关系吧。

@peng2e #70 又一个不看回帖的。。。

没毛病啊？

@chust 估计帖子太多看不过来了， @peng2e 和 @msg7086 提到的，前面早说过多遍了。其实看下网页内容，有能力的看下代码就知道了。

@codehz 请问你的 Chrome 自带反钓鱼是如何实现的？求传授。

具体来说是国际化域名(IDN)的锅， https://en.wikipedia.org/wiki/Internationalized_domain_name
不过确实来说是浏览器本身 feature 引入带来的安全性 bug ……

复制不同的部分 粘贴得到的不一样（我是不是还没懂？
https://ooo.0o0.ooo/2017/04/16/58f303757142e.jpg