惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

C
Check Point Blog
U
Unit 42
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Martin Fowler
Martin Fowler
L
LangChain Blog
博客园_首页
博客园 - 【当耐特】
Vercel News
Vercel News
I
InfoQ
GbyAI
GbyAI
爱范儿
爱范儿
D
DataBreaches.Net
Blog — PlanetScale
Blog — PlanetScale
B
Blog RSS Feed
A
About on SuperTechFans
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
G
Google Developers Blog
大猫的无限游戏
大猫的无限游戏
Apple Machine Learning Research
Apple Machine Learning Research
F
Fortinet All Blogs
N
Netflix TechBlog - Medium
酷 壳 – CoolShell
酷 壳 – CoolShell
P
Proofpoint News Feed
美团技术团队
V
V2EX
Stack Overflow Blog
Stack Overflow Blog
有赞技术团队
有赞技术团队
Y
Y Combinator Blog
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
H
Help Net Security
Recent Announcements
Recent Announcements
Microsoft Azure Blog
Microsoft Azure Blog
D
Docker
宝玉的分享
宝玉的分享
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
量子位
小众软件
小众软件
J
Java Code Geeks
S
SegmentFault 最新的问题
Engineering at Meta
Engineering at Meta
Google DeepMind News
Google DeepMind News
MongoDB | Blog
MongoDB | Blog
The Cloudflare Blog
Recorded Future
Recorded Future
阮一峰的网络日志
阮一峰的网络日志
T
The Blog of Author Tim Ferriss
MyScale Blog
MyScale Blog
Microsoft Security Blog
Microsoft Security Blog

人人都是产品经理

为什么你的产品找不到差异化?90%的失败都卡在第一步上(下) – 人人都是产品经理, 3年从30万到1300万用户、获2200万美元融资,这个AI教育产品用“抽卡”破解了获客难题 – 人人都是产品经理, 园区招商系统怎么做才能真正帮到去化?我加了这一个功能,推广链接转发400次阅读过万 – 人人都是产品经理, AI大事件:OpenAI发完网络安全模型又搞药物研发,小鹏汽车要抓”DeepSeek时刻” – 人人都是产品经理, 电商不是卖货,是一场更残酷的产品经理实战 – 人人都是产品经理, 没想到,活动营销又回来了! – 人人都是产品经理, 为何All-in海外KOC:一场关于AI时代窗口期的豪赌 – 人人都是产品经理, 重新理解企业的内部协作 – 人人都是产品经理, 苹果的 AI 战略到底是什么? – 人人都是产品经理, 医疗智能体·第2讲——合规护城河:等保、PIPL与HIPAA的架构实战 – 人人都是产品经理, 向量知识库五步法:从“答非所问”到“精准回复” – 人人都是产品经理, 鸿蒙PC三方库构建总指挥HPKBUILD(sha)库为例 – 人人都是产品经理, 何时该用LLM?AI产品经理的LLM设计指南 – 人人都是产品经理, 医疗信息领域的需求方、决策方、准入方以及关注点(二) – 人人都是产品经理, 即梦涨价:一场被误读的「傲慢」 – 人人都是产品经理, 面试AI PM必答题:Hermes和OpenClaw的区别,如何讲清楚业务价值 – 人人都是产品经理, AI的下一张船票:世界模型——AI产品经理必须理解的技术拐点 – 人人都是产品经理, 小红书做GEO,怎么让AI信你?记住这 3 个重要信息 – 人人都是产品经理, 5 家印度 AI 初创公司,看看印度 AI 再做什么 – 人人都是产品经理, AI项目跨团队协作:产品技术业务如何不打架 – 人人都是产品经理, Agentic Workflow(智能体工作流):让AI从”答案生成器”变成”数字员工” – 人人都是产品经理, lycium_plusplus 项目全景解读:OpenHarmony 三方库构建的“大管家” – 人人都是产品经理, 从爆单救火到前置履约:两套预采策略,把生鲜大促履约效率拉满 – 人人都是产品经理, 什么时候该补货?我用一轮数据做了一个决定 – 人人都是产品经理, 从“机械兜底”到“动态分流”:AI客服重复进线治理的4大底层逻辑 – 人人都是产品经理, 抖音拼效率,红书拼洞察 – 人人都是产品经理, 全民狂欢与退潮——为什么龙虾这波热潮冷却得如此之快? – 人人都是产品经理, Stripe押注!MPP重塑全球支付 – 人人都是产品经理, 小红书GEO:AI引用你的内容,不是因为你对,而是因为你看起来可信 – 人人都是产品经理, 前百度副总裁押注办公Agent,日韩付费爆发,Manus迎来强劲对手 – 人人都是产品经理, 企事业单位数字化的业务供需本质 – 人人都是产品经理, 医疗智能体·第1讲——医疗信息化重构:从“辅助软件”到“自主智能体”的范式转移 – 人人都是产品经理, 粉丝量就是空气!!! – 人人都是产品经理, 用户说“薯片碎了”,机器回“要买吗?”:意图识别的翻车与破局 – 人人都是产品经理, RAG召回准确率从75到90 我做对了这三件事 – 人人都是产品经理, AI大事件:Anthropic改收费、OpenAI发安全版、手术机器人纳入医保、阿里发布”秒悟” – 人人都是产品经理, Chrome 推出 Skills 新功能,Agent 重塑上网方式 – 人人都是产品经理, GitHub前创始人拿了a16z的1700万美元,做Agent时代的Git – 人人都是产品经理 拷贝或克隆其他 Flutter OH 项目到本地后无法运行 – 人人都是产品经理, 优惠券设计:优惠券创建 – 人人都是产品经理, 不用死磕文档!AI 助手 1 小时搞定飞书 CLI 安装 + 配置 + 知识库 – 人人都是产品经理, 用小龙虾做竞品分析报告:从2天到20分钟,我是怎么做到的 – 人人都是产品经理 用小龙虾做市场分析报告:搞懂这3个公式,市场规模不再靠猜 – 人人都是产品经理, 你早就在做 Harness 工程,只是不知道它叫这个名字 – 人人都是产品经理, Think Long就够?你可能想多了! – 人人都是产品经理, 货代SRM实战:供应商准入怎么做,才能让资源池不是通讯录而是可交付网络? – 人人都是产品经理, 如何做好用户调研?详解基本技巧 – 人人都是产品经理, 木鸟、途家、美团对打,平台春天行动开“卷” – 人人都是产品经理, 入职才发现公司不靠谱?小红书从业者求职避坑指南 – 人人都是产品经理, 美国 AI 三巨头联手封堵,中国 AI 突围之路在何方 – 人人都是产品经理, 小红书,放在需求对面的镜子 – 人人都是产品经理, AI 会带来大规模失业吗? – 人人都是产品经理, 从出单到补货前,我第一次犹豫:该不该放大? – 人人都是产品经理, Flutter 三方库鸿蒙化适配:5 种高效检查方式,快速判断是否需要适配 – 人人都是产品经理, 从做产品进阶拿结果:医美机构产品经理转岗科室运营经理 – 人人都是产品经理, 阿里HappyHorse,一场关于“Token经济”的阳谋 – 人人都是产品经理, To B AI:客户留存落地的观察与思考 – 人人都是产品经理, AI产品的“生命线”——数据采集、标注、清洗的产品化设计 – 人人都是产品经理, 谈谈AI Agent(二):当“孩子”能自己“体验世界”时,你该学什么? – 人人都是产品经理, UI/UX设计师的3层能力进阶,前两层让你活下来,第三层…才是真正的分水岭 – 人人都是产品经理, 2分钟 → 30秒,效率提升75%:B端产品经理如何用「规则枷锁」驯服AI幻觉? – 人人都是产品经理, 还没来得及学OpenClaw,来了个更猛的:Hermes Agent – 人人都是产品经理, AI日报:宇树机器人跑出10m/s刷新世界纪录 – 人人都是产品经理, 一文说透基金互金如何用情绪价值引导用户决策做转化 – 人人都是产品经理, 当浏览器开始替你”看”网页:AI 浏览器正在亲手拆掉它脚下的那张网 – 人人都是产品经理, 0代码,一天时间我Vibe Coding了个网站 – 人人都是产品经理, Hermes 和 OpenClaw 之争,Agent 的能力应该“装上去”还是“长出来”? – 人人都是产品经理 视频生成的“桌子”,字节Seedance 2掀完,阿里快乐马掀 – 人人都是产品经理, 从听不懂到完全信任:我的 Codex 深度产品体验 – 人人都是产品经理, 当虚拟偶像有了北京户口,与真人偶像还有什么区别? – 人人都是产品经理, 会说,远远比会做更重要 —— 对 SBTI 爆火现象的五层观察 – 人人都是产品经理, AI产品经理必看:当“搭环境”比“选模型”更重要,你的认知还在2024年吗? – 人人都是产品经理, 2026年AI产品商业化核心逻辑:从功能demo到规模化营收的3个必破卡点 – 人人都是产品经理, 京东围绕供应链,卷起裤腿下场的那些事儿 – 人人都是产品经理, SBTI一夜刷屏:它赢在了“太会说人话” – 人人都是产品经理, 折扣零售的真相:不是便宜,而是价值感! – 人人都是产品经理, 和甲方吵了一架,最后加钱做了——我学到的ToB产品经理生存法则 – 人人都是产品经理, 和几位小红书操盘手聊了8小时,干货全在这 – 人人都是产品经理, 智谱GLM-5.1登场,开源模型首超Opus4.6!!! – 人人都是产品经理 Anthropic收入凭什么反超OpenAI,终于有人把这事说清楚了 – 人人都是产品经理, 史上最有故事感的技术报告——Claude最强模型Mythos 7个极其精彩的细节 – 人人都是产品经理, 模型不是壁垒,Harness 也不是 – 人人都是产品经理, 抖音本地生活业务思考21 – 人人都是产品经理, Superpowers:145k Star的AI编码框架,到底是什么来头? Superpowers:145k Star的AI编码框架,到底是什么来头? – 人人都是产品经理, OpenAI 的路走错了,Anthropic Harness 解法启示:模型需要实践专科生 – 人人都是产品经理, 画原型图的前一步:设计站点地图 – 人人都是产品经理, 给 DeepSeek 的最后一封催更信 – 人人都是产品经理, 手把手教你用 Claude Code 搭建 AI 营销团队:5 个 Agent、12 项技能,独立完成研究、写作、设计全流程 – 人人都是产品经理, 你以为大模型在学语言?不,它在重新发明语言学 – 人人都是产品经理 所谓Skill,不过是AI时代的工业垃圾 – 人人都是产品经理, 聊一聊内容传播的几个方法 – 人人都是产品经理, 当平台开始吃掉生态:从 OpenClaw 被封杀,读懂 Anthropic 的这盘棋 – 人人都是产品经理, 你装了 10 个 AI 插件,Obsidian 还是一个文件夹 – 人人都是产品经理 关于AI智能体架构演进的系统性思考:从单体试水到多体协同的重构 – 人人都是产品经理, 当“人”变成Skill,我们又该何去何从? – 人人都是产品经理 Mythos 事件:前沿 AI 治理的意外实验 – 人人都是产品经理, 货代CRM:信用与风险管理怎么做,才能把坏账风险拦在放货之前? – 人人都是产品经理, 从HR收集自拍照到员工自助录入——我见证了园区人脸识别从”不可用”到”真好用”的全过程 – 人人都是产品经理 千问闯关AI混沌期:阿里画靶,吴嘉张弓,马云射箭? – 人人都是产品经理,
谷歌整了几个新域名,让我们距离网络诈骗更近了一步
差评 · 2023-06-12 · via 人人都是产品经理

谷歌最近开放了一个类似于 .com、.cn 的顶级域名:.zip。而这一动作,无疑引发了网友们的热切关注,因为谷歌的这通操作可能潜在地加大了网友们的冲浪风险或网页资料的下载风险。一起来看看本文的解读和分析。

随手注册一个域名放到网上,就可以得到极客们的夸夸?

这么个简单的事,就能让大家交口称赞,其实是因为这哥们用自己的实际行动,抵制了谷歌最近这个犯浑的操作……

它开放了一个类似于 .com、.cn 的顶级域名:

.zip。

这波操作,搞得咱们以后在网上下东西,聊天得更加小心了。

虽然我相信大家现在不太会去网页端里下载东西,但谷歌这通操作完,指不定回头你就要吃瘪了。

在聊这个全新的顶级域名前,托尼先来告诉大家,这玩意到底可以动什么手脚。

看看这两个链接有什么区别:

谷歌整了几个新域名,让我们距离网络诈骗更近了一步。

看起来是不是差不多?

但其实,前一个是指向 Github 上一个项目里的某个软件压缩包。

谷歌整了几个新域名,让我们距离网络诈骗更近了一步。

而后者前面那一大串都是障眼法,它真正指向的是一个叫做 v1271.zip 的网站。

至于这网站里藏了啥玩意,那我们可就不清楚了,指不定就是个古早味钓鱼网站。

谷歌整了几个新域名,让我们距离网络诈骗更近了一步。

总之就是一整个风险拉满。

等等,这玩意看起来不是个 github 上的文件链接吗,怎么成了另一个人的钓鱼网址呢?

其实这就和电脑如何识别网址有关了:

谷歌整了几个新域名,让我们距离网络诈骗更近了一步。

在访问网络的时候,服务器会把“https://”和“@”之间的内容给当作用户的信息,而不是真实的网址。

被当作网址的,是“@”后面的一连串信息。

所以 https://google.com@bing.com 这个网址其实访问的是 bing.com ,中间的 google.com 因为被‘@’夹在中间所无视。

但是如果我们在“@”前面再加个 ‘/’ 正斜杠,电脑就会把正斜杠后面的内容当做网址路径的一部分。

简单来说,有 ‘ / ’的话,‘@’就没用了。

举个例子,https ://google.com/search@bing.com 这个网址就不会落在 Bing ,而是访问到 Google 上。

这下问题就来了。

刚才那个网站是怎么做到,绕过这个限制的?明明它也有正斜杠啊。

谷歌整了几个新域名,让我们距离网络诈骗更近了一步。

其实仔细看能发现,这个正斜杠长的不太一样。因为在咱们常用的字符列表里,有另外两个和/非常像的字符:

U+2215(∕)和U+2044(∕)

它们在Chrome浏览器中不被认为是真正的斜杠,也不像正斜杠那样,能让‘@’变没用。

所以才能实现一整个偷梁换柱,让假网址变的很像真网址。

虽然说多看几眼咱们可以发现这个假斜杠的宽度不太一样,而且仔细看的话,会发现 Chrome 也对真实访问的网址用颜色做出了标识。

谷歌整了几个新域名,让我们距离网络诈骗更近了一步。

但是呢!在电子邮件里,@’的字号可以被设置到最小,来实现一个瞒天过海。

你品品下面这张图。

来自海外安全人员的测试:

谷歌整了几个新域名,让我们距离网络诈骗更近了一步。

这就是它实现恶意攻击的方式通过假的斜杠+@字符的方式,将虚假的. zip 域名给伪装成一个正规下载文件。

所以啊,对于谷歌这波操作,我是真没整明白……

这事得追溯到 2023 年 5 月 15 号,谷歌开放出了一批新的顶级域名( TLD )给大家注册。

谷歌整了几个新域名,让我们距离网络诈骗更近了一步。

这些顶级域名就像是各个网站页面们的“小区号”,比如 .com、.org 、.cn 、.edu 这些都是。

互联网发展了这么多年,大家对网址的需求也贼多。为了能让大家都有足够能用的网址,互联网运营商会提供各种各样的顶级域名来让大家购买。

而在这回被放出来的顶级域名里,就有.zip 的身影(同时开放的还有. dad.phd.prof.esq.foo.mov 这些)。

之后,咱们就可以注册各种以 zip 结尾的网址,比如说什么 setup.zip 啊,前面提到的 v1271.zip 都是如此。

本来到这一步其实事情其实也还好,大家伙都是擅长网络冲浪的高手,也不至于看到个网站就打开了。

但坏就坏在,这玩意放网址里,长得太像一个可以下载的压缩文件了,谁还没下过几个 zip 安装包啊。

谷歌整了几个新域名,让我们距离网络诈骗更近了一步。

而且危害还不止如此。

这年头的软件们都喜欢给咱们输的文字版网址,自动生成一个可以点击的超链接,所以它的危害性能再上一层。

比如微信就可以把. com 结尾的、长得像网址的东西转换成链接,虽然目前还没识别. zip 这个顶级域名,但是可能也就是时间问题。

谷歌整了几个新域名,让我们距离网络诈骗更近了一步。

这就意味着,未来我们在聊天、发邮件、找攻略的时候,遇到的所有 XXX.zip 都可能变成一个可以点击的链接。

咱们就举个例子吧。想象一下咱们在找资源的时候,可能会看到好心人这样介绍:

谷歌整了几个新域名,让我们距离网络诈骗更近了一步。

这种时候如果有人恶意注册了 download.zip 这个域名的话,就会导致这段话里的 donwload.zip 变成一个可以立刻点击的链接……

谷歌整了几个新域名,让我们距离网络诈骗更近了一步。

那万一路过的群众如果点击一下这个链接,打开的东西可能就不是咱们想要的资源,而是一个恶意文件或者是网页。

风险一整个拉满。

所以,在这些本意方便大家的技术叠加之下,. zip 这个域名的危险性被再一次放大。

不过呢,这事其实也不是那么容易碰到的,而且网上也有不少大佬用这个域名做了很多有意思的事情,自愿当起了“白衣骑士”。

比如文章开头里提到的夸夸,就是在感谢一位叫 Alex 的大佬,他注册下来了 setup.zip 这个域名,用来宣传. zip 的危害性。

谷歌整了几个新域名,让我们距离网络诈骗更近了一步。

也有老哥为了让大家更直观的认识到 .zip 可能带来的危害,在自己的 zip 域名上设计了一个模仿 WinRAR 的界面。

你还别说,我觉得这有鼻子有眼的页面还真的能骗到人:

谷歌整了几个新域名,让我们距离网络诈骗更近了一步。

甚至还有人为了一劳永逸,做了一个 Chrome 插件,用来禁止浏览器访问. zip 和. mov 域名。

谷歌整了几个新域名,让我们距离网络诈骗更近了一步。

虽然说对咱们这样的互联网用户来说,去论坛上找资料的情况已经不多了。

但无论如何,网上冲浪还是要注意安全,不该点的链接不要瞎点。

也祝愿大家别和我一样,被黑客一秒盗走了账号密码……

谷歌整了几个新域名,让我们距离网络诈骗更近了一步。

图片、资料来源

  • https://www.freedidi.com/9481.html
  • https://mrd0x.zip/index.html
  • File Manager
  • https://medium.com/@bobbyrsec/the-dangers-of-googles-zip-tld-5e1e675e59a5
  • https://www.reddit.com/r/programming/comments/13fsvl5/the_zip_tld_sucks_and_it_needs_to_be_immediately/?onetap_auto=true
  • https://www.wangan.com/p/11v75df801ff3176
  • https://www.alexanderjaeger.de/setup-zip/

作者:小陈;编辑:面线

来源公众号:差评(ID:chaping321),Debug the World。

本文由人人都是产品经理合作媒体 @差评 授权发布,未经许可,禁止转载。

题图来自 Unsplash,基于 CC0 协议。

该文观点仅代表作者本人,人人都是产品经理平台仅提供信息存储空间服务。