这么个简单的事，就能让大家交口称赞，其实是因为这哥们用自己的实际行动，抵制了谷歌最近这个犯浑的操作。。。

　　但是如果我们在 “@” 前面再加个 ‘ / ’ 正斜杠，电脑就会把正斜杠后面的内容当做网址路径的一部分。

　　其实仔细看能发现，这个正斜杠长的不太一样。因为在咱们常用的字符列表里，有另外两个和 / 非常像的字符：

　　它们在 Chrome 浏览器中不被认为是真正的正斜杠，也不像正斜杠那样，能让‘ @ ’变没用。

　　虽然说多看几眼咱们可以发现这个假斜杠的宽度不太一样，而且仔细看的话，会发现 Chrome 也对真实访问的网址用颜色做出了标识。

　　这就是它实现恶意攻击的方式。通过假的正斜杠 + @ 字符的方式，将虚假的. zip 域名给伪装成一个正规下载文件。

　　这事得追溯到 2023 年 5 月 15 号，谷歌开放出了一批新的顶级域名（ TLD ）给大家注册。

　　互联网发展了这么多年，大家对网址的需求也贼多。为了能让大家都有足够能用的网址，互联网运营商会提供各种各样的顶级域名来让大家购买。

　　之后，咱们就可以注册各种以 zip 结尾的网址，比如说什么 setup.zip 啊，前面提到的 v1271.zip 都是如此。

　　但坏就坏在，这玩意放网址里，长得太像一个可以下载的压缩文件了，谁还没下过几个 zip 安装包啊。

　　这年头的软件们都喜欢给咱们输的文字版网址，自动生成一个可以点击的超链接，所以它的危害性能再上一层。

　　比如微信就可以把. com 结尾的、长得像网址的东西转换成链接，虽然目前还没识别. zip 这个顶级域名，但是可能也就是时间问题。

　　这就意味着，未来我们在聊天、发邮件、找攻略的时候，遇到的所有 XXX.zip 都可能变成一个可以点击的链接。

　　这种时候如果有人恶意注册了 download.zip 这个域名的话，就会导致这段话里的 donwload.zip 变成一个可以立刻点击的链接。。。

　　那万一路过的群众如果点击一下这个链接，打开的东西可能就不是咱们想要的资源，而是一个恶意文件或者是网页。

　　不过呢，这事其实也不是那么容易碰到的，而且网上也有不少大佬用这个域名做了很多有意思的事情怎样翻墙google play，自愿当起了 “ 白衣骑士 ” 。

　　比如文章开头里提到的夸夸，就是在感谢一位叫 Alex 的大佬，他注册下来了 setup.zip 这个域名，用来宣传. zip 的危害性。

　　也有老哥为了让大家更直观的认识到 .zip 可能带来的危害，在自己的 zip 域名上设计了一个模仿 WinRAR 的界面。

　　甚至还有人为了一劳永逸，做了一个 Chrome 插件，用来禁止浏览器访问. zip 和. mov 域名。

　　本文为澎湃号作者或机构在澎湃新闻上传并发布，仅代表该作者或机构观点，不代表澎湃新闻的观点或立场，澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。