提醒 V 友, 防不胜防的钓鱼网址

这个问题很严重，我靠，吓死人。

我觉得 lets encrypt 迟早会增加限制算法，不然要被玩坏了。。。

Ubuntu Chrome 57.0.2987.133 ，启动命令里配置了 --ignore-certificate-errors ，这个网站直接打不开，出现下面的提示：

This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/

This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website.

Please click here to return to the blog post on wordfence.com discussing this issue.

This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here.

@Allianzcortex 这个提示就是那个网站的内容啊

@Jaylee 吓。。。

用 uc 国际版打开 明显示两个地址的。内容也不同

这个页面看起来没加样式，而浏览器的封禁提示都是有特殊样式的，为何会误认啊…

这一个贴是钓出多少小白和不看英文的人
"This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox."
这网站第一句话这么大字写着 "这个页面展示了一个 chrome 和 firefox 的 unicode 漏洞", 真的不要再说这是浏览器提示了好么,看的都蛋疼了

楼主应该也贴一下原帖里写的 Firefox 对于这种冒牌网址的处理办法。

http://www.hostloc.com/?18756
http://www.hostloc.com/?25798
有没有大佬科普下这个两个一样的 ID 是怎么做到的。

@xspoco 用户不存在跳首页？

@legend4 这个‘钓鱼网站’页面就是这个内容，根本不是 FF 停止加载

@yankebupt 压根就不是 Let's Encrypt 的锅，自己看清楚证书颁发的域名

看到一群贴网站内容还说没问题的，逗乐我了

@iPhone8 能用这种域名的网站肯定是限定受众导向的啊，不然为什么不用英文域名？

这贴真正让我震惊的是……有那么多已经被钓鱼却还跟帖回复说没有问题没被钓鱼的人……

版本 57.0.2987.133 (64-bit)

Google Chrome 已是最新版本。

我想知道 chrome 刷到 60 的是怎么实现的？
PS:这 bug 真心恐怖~表示完全看不出来。

浏览器的锅。。。

关于楼主的插件我没有测试过，不过我猜测是要点击下插件按钮才会弹出真实域名？如果是这样的话，点击 chrome 的地址栏左边那个小锁其实包含了同样的功能。最后感谢楼主分享

chrome dev 版本显示真实域名