Názor k článku Postřehy z bezpečnosti: „zip“ nově využíván při útocích nejen jako typ souboru od Filip Jirsák - Ta část URL před zavináčem obsahuje přístupové údaje...

Ta část URL před zavináčem obsahuje přístupové údaje (uživatelské jméno a heslo). Pro protokol HTTP myslím není jejich použití definováno (možná to dříve některé prohlížeče převedly na HTTP Basic autentizaci, tím si nejsem jistý; možná by to i dnes fungovalo, pokud by server na požadavek odpověděl výzvou pro zadání hesla přes HTTP protokol, že tam prohlížeč ty údaje použije). V prohlížečích se to používalo u FTP protokolu, ale ten už dnešní prohlížeče nepodporují. Dnes pro HTTP prohlížeč (Chrome-based) ty údaje nepoužije ani v případě, kdy dostane ze serveru odpověď, že je potřeba HTTP autentizace. Vzhledem k tomu, že prohlížeč ty přístupové údaje nijak nepoužívá, ani je v URL nezobrazuje a z URL je odstraní.

Takže zneužití toho, že uživatel zamění doménu s názvem souboru, dopadne tak, že se uživateli v adresním řádku zobrazí jenom ten název domény. No a pokud uživateli není divné, že se ze stahování souboru faktura.zip najednou stala doména faktura.zip, nebude mu divné ani to, když se z toho stane doména faktura.info nebo cokoli jiného.

Jinak celou dobu píšu o webovém prohlížeči, což je zdaleka nejčastější vektor útoku přes URL. Samozřejmě URL nejsou jen v prohlížečích – ale opět platí, že když někdo bude používat třeba curl nebo wget, tak buď rozumí tomu, co dělá, a TLD zip ho nezaskočí. Nebo neví, co dělá, jenom odněkud zkopíroval celý příkaz – a pak je úplně jedno, jestli tam bude doména zip nebo jestli tam bude devil-hacker.xxx.