踩坑实录#2：.zip 域名的一些小知识

众所周知，.zip域名可以用作钓鱼。简单地说，需要把一个普通的网址的/（普通的反斜杠）换成∕（U+2215）或者⁄(U+2214)，接下来在链接末尾加上@your-domain.zip（比如https://baidu.com∕downloads∕@release-beta.zip），就可以让受害者以为这是一个普通的网址，甚至乎在icalingua++上面基本看不出来；但对于浏览器来说，他会把前面的部分（baidu.com∕downloads∕）当成HTTP登陆的用户名。

当然这样子不怎么道德，但是逗人玩挺好玩的——前提条件是那哥们愿意陪你玩。

btw,关于.zip域名的一些小小知识：

如果你购买了谷歌特有的几个后缀（包括.zip等等），会发现如果使用http(未加密)服务，会被自动跳转到https（443，加密）的地址上。导致这一情况的原因是谷歌目前将.zip放置在了HSTS Preloaded Entry中。

参见这里：

Broadening HSTS to secure more of the Web

Posted by Ben McIlwain, Google Registry The security of the Web is of the utmost importance to Google. One of the most powerful tools in th…

Google Online Security BlogGoogle

确实啊，自己不用配置HSTS是一个好文明；但是当需要在这个域名底下挂HTTP服务时，提供tls就成为了必需品。安全吧，确实，不用手动配置HSTS了；但是这也导致域名变得比较难用，没法快乐在内网快速部署服务了。