谷歌整了幾個新域名，讓我們距離網絡詐騙更近了一步。

随手注冊一個域名放到網上，就可以得到極客們的誇誇？

這麽個簡單的事，就能讓大家交口稱贊，其實是因爲這哥們用自己的實際行動，抵制了谷歌最近這個犯渾的操作。。。

它開放了一個類似于 .com、.cn 的頂級域名：

.zip。

這波操作，搞得咱們以後在網上下東西，聊天得更加小心了。

雖然我相信大家現在不太會去網頁端裏下載東西，但谷歌這通操作完，指不定回頭你就要吃癟了。

在聊這個全新的頂級域名前，托尼先來告訴大家，這玩意到底可以動什麽手腳。

看看這兩個鏈接有什麽區别：

看起來是不是差不多？

但其實，前一個是指向 Github 上一個項目裏的某個軟件壓縮包。

而後者前面那一大串都是障眼法，它真正指向的是一個叫做 v1271.zip 的網站。

至于這網站裏藏了啥玩意，那我們可就不清楚了，指不定就是個古早味釣魚網站。

總之就是一整個風險拉滿。

等等，這玩意看起來不是個 github 上的文件鏈接嗎，怎麽成了另一個人的釣魚網址呢？

其實這就和電腦如何識别網址有關了：

在訪問網絡的時候，服務器會把   "https://"   和   "@"   之間的内容給當作用戶的信息，而不是真實的網址。

被當作網址的，是   "@"   後面的一連串信息。

所以 https://[email protected] 這個網址其實訪問的是 bing.com ，中間的 google.com 因爲被‘   @  ’夾在中間所無視。

但是如果我們在   "@"   前面再加個 ‘   /   ’ 正斜杠，電腦就會把正斜杠後面的内容當做網址路徑的一部分。

簡單來說，有 ‘ / ’的話，‘   @  ’就沒用了。

舉個例子，https :   //google.com/[email protected] 這個網址就不會落在 Bing ，而是訪問到 Google 上。

這下問題就來了。

剛才那個網站是怎麽做到，繞過這個限制的？明明它也有正斜杠啊。

其實仔細看能發現，這個正斜杠長的不太一樣。因爲在咱們常用的字符列表裏，有另外兩個和   /   非常像的字符：

U+2215  （  ∕  ）和   U+2044  （  ∕  ）

它們在   Chrome   浏覽器中不被認爲是真正的正斜杠，也不像正斜杠那樣，能讓‘  @ ’變沒用。

所以才能實現一整個偷梁換柱，讓假網址變的很像真網址。

雖然說多看幾眼咱們可以發現這個假斜杠的寬度不太一樣，而且仔細看的話，會發現 Chrome 也對真實訪問的網址用顔色做出了标識。

但是呢！在電子郵件裏，‘  @ ’的字号可以被設置到最小，來實現一個瞞天過海。

你品品下面這張圖。

來自海外安全人員的測試

所以啊，對于谷歌這波操作，我是真沒整明白。。。

這事得追溯到 2023 年 5 月 15 号，谷歌開放出了一批新的頂級域名（ TLD ）給大家注冊。

這些頂級域名就像是各個網站頁面們的   "   小區号   "  ，比如 .com、.org 、.cn 、.edu 這些都是。

互聯網發展了這麽多年，大家對網址的需求也賊多。爲了能讓大家都有足夠能用的網址，互聯網運營商會提供各種各樣的頂級域名來讓大家購買。

而在這回被放出來的頂級域名裏，就有.   zip 的身影（同時開放的還有 . dad.phd.prof.esq.foo.mov 這些  ）。

之後，咱們就可以注冊各種以 zip 結尾的網址，比如說什麽 setup.zip 啊，前面提到的 v1271.zip 都是如此。

本來到這一步其實事情其實也還好，大家夥都是擅長網絡沖浪的高手，也不至于看到個網站就打開了。

但壞就壞在，這玩意放網址裏，長得太像一個可以下載的壓縮文件了，誰還沒下過幾個 zip 安裝包啊。

而且危害還不止如此。

這年頭的軟件們都喜歡給咱們輸的文字版網址，自動生成一個可以點擊的超鏈接，所以它的危害性能再上一層。

比如微信就可以把 . com 結尾的、長得像網址的東西轉換成鏈接，雖然目前還沒識别 . zip 這個頂級域名，但是可能也就是時間問題。

這就意味着，未來我們在聊天、發郵件、找攻略的時候，遇到的所有 XXX.zip 都可能變成一個可以點擊的鏈接。

咱們就舉個例子吧。想象一下咱們在找資源的時候，可能會看到好心人這樣介紹 :  

這種時候如果有人惡意注冊了 download.zip 這個域名的話，就會導緻這段話裏的 donwload.zip 變成一個可以立刻點擊的鏈接。。。

那萬一路過的群衆如果點擊一下這個鏈接，打開的東西可能就不是咱們想要的資源，而是一個惡意文件或者是網頁。

風險一整個拉滿。

所以，在這些本意方便大家的技術疊加之下，. zip 這個域名的危險性被再一次放大。

不過呢，這事其實也不是那麽容易碰到的，而且網上也有不少大佬用這個域名做了很多有意思的事情，自願當起了   "   白衣騎士   "  。

比如文章開頭裏提到的誇誇，就是在感謝一位叫 Alex 的大佬，他注冊下來了 setup.zip 這個域名，用來宣傳 . zip 的危害性。

也有老哥爲了讓大家更直觀的認識到 .zip 可能帶來的危害，在自己的 zip 域名上設計了一個模仿 WinRAR 的界面。

你還别說，我覺得這有鼻子有眼的頁面還真的能騙到人

甚至還有人爲了一勞永逸，做了一個 Chrome 插件，用來禁止浏覽器訪問 . zip 和 . mov 域名。

雖然說對咱們這樣的互聯網用戶來說，去論壇上找資料的情況已經不多了。

但無論如何，網上沖浪還是要注意安全，不該點的鏈接不要瞎點。

也祝願大家别和我一樣，被黑客一秒盜走了賬号密碼。。。