Reveal URLs — Manuale utente

Reveal URLs è una piccola estensione per browser (e un add-on per Thunderbird) che ti mostra dove un link nella tua e-mail va davvero, così puoi riconoscere un link di phishing prima di cliccarci sopra.

Questo manuale spiega come installare Reveal URLs e come usarlo. Per sapere come vengono trattati i tuoi dati, consulta l'informativa sulla privacy; per una panoramica tecnica di come è costruita l'estensione, consulta la panoramica dell'architettura.

Hai trovato un bug, un link contrassegnato erroneamente (o ignorato), o un host di webmail che dovrebbe essere supportato? Segnalalo sull' issue tracker di Codeberg.

Cosa fa e perché

Un'e-mail di phishing nasconde una destinazione ostile dietro un testo del link dall'aspetto affidabile. Il testo può riportare paypal.com, mentre il link in realtà punta a paypa1.com o a un altro host simile. Il testo visibile può mentire; la destinazione reale no.

Reveal URLs legge ogni link nel messaggio che stai leggendo e ti mostra la sua reale destinazione. Quando l'host indicato nel testo del link non corrisponde all'host a cui il link punta davvero, Reveal URLs lo contrassegna, così la discrepanza è evidente prima che tu clicchi.

Un messaggio di Gmail con Reveal URLs attivo: un link ingannevole è contrassegnato in rosso con la sua reale destinazione di tracciamento rivelata sopra il testo del link, mentre un link onesto è mostrato in verde.

Tutto avviene sul tuo dispositivo. Reveal URLs non invia nulla a noi né a terze parti — non c'è alcun server, nessuna analisi e nessun tracciamento. Consulta l'informativa sulla privacy per tutti i dettagli.

Browser supportati e il client di posta

Reveal URLs funziona su:

Google Chrome
Microsoft Edge
Opera
Mozilla Firefox
Mozilla Thunderbird (il client di posta desktop)

Una build per Safari non è ancora disponibile; è pianificata per una fase successiva.

Sui target browser, Reveal URLs annota i link nella tua webmail. In Thunderbird annota i link nell'e-mail che stai leggendo direttamente nel client di posta.

Installazione

Dallo store del tuo browser o client di posta (consigliato)

Una volta pubblicato, installa Reveal URLs dallo store per il tuo browser o client di posta. La pubblicazione è ancora in corso, quindi questi elenchi sono il percorso di distribuzione previsto e non ancora dei link attivi:

Chrome — il Chrome Web Store
Edge — Microsoft Edge Add-ons
Opera — il sito degli add-on di Opera
Firefox — Firefox Add-ons (AMO)
Thunderbird — Thunderbird Add-ons (ATN)

Caricare una build da solo (sviluppatori e test iniziali)

Se hai compilato Reveal URLs dal codice sorgente, puoi caricare direttamente la build decompressa. Ogni target viene compilato con un comando make e prodotto sotto dist/<target>/:

make build-chrome        # produces dist/chrome
make build-edge          # produces dist/edge
make build-opera         # produces dist/opera
make build-firefox       # produces dist/firefox
make build-thunderbird   # produces dist/thunderbird

Poi carica la cartella risultante:

Chrome — apri chrome://extensions, attiva la Modalità sviluppatore, clicca su Carica estensione non pacchettizzata e seleziona dist/chrome.
Edge — apri edge://extensions, attiva la Modalità sviluppatore, clicca su Carica estensione non pacchettizzata e seleziona dist/edge.
Opera — apri opera://extensions, attiva la Modalità sviluppatore, clicca su Carica estensione non pacchettizzata e seleziona dist/opera.
Firefox — apri about:debugging, scegli Questo Firefox, clicca su Carica add-on temporaneo e seleziona un qualsiasi file all'interno di dist/firefox (per esempio il suo manifest.json). Un add-on temporaneo viene rimosso al riavvio di Firefox.
Thunderbird — installa l'add-on temporaneo da dist/thunderbird allo stesso modo (tramite Strumenti → Strumenti per sviluppatori → Debug degli add-on → Carica add-on temporaneo).

La pagina delle impostazioni si apre automaticamente la prima volta che l'estensione viene installata.

Come usarlo

Pronto all'uso, Reveal URLs annota i link nei messaggi presso i provider integrati — nessuna configurazione necessaria:

Gmail (mail.google.com)
Outlook Live (outlook.live.com)
Outlook sul web / Microsoft 365 (outlook.office.com)
Proton Mail (mail.proton.me)

L'annotazione è limitata al corpo del messaggio, così l'interfaccia propria dell'app — la sua barra laterale, la finestra di composizione e le barre degli strumenti — resta intatta. In Thunderbird viene coperta l'intera e-mail visualizzata.

Reveal URLs annota un messaggio di Gmail: la reale destinazione di ogni link è mostrata su una riga propria sopra il testo del link, con un link di tracciamento non corrispondente contrassegnato in rosso e un link onesto in verde.

Le due modalità di rivelazione

Scegli come viene mostrato l'URL reale, sotto Rivela l'URL nella pagina delle impostazioni:

In linea — l'URL reale è mostrato su una riga propria, appena sopra il testo del link. Questa è l'impostazione predefinita.
Nel tooltip (titolo) del link — l'URL reale è collocato nel tooltip del link, così appare quando passi il puntatore sopra il link.

Evidenziazione delle discrepanze

Quando l'host indicato nel testo visibile di un link non corrisponde all'host a cui il link punta davvero, Reveal URLs lo contrassegna come una discrepanza. Il confronto avviene sul dominio registrabile, quindi un sottodominio onesto come mail.example.com per example.com non viene contrassegnato, mentre un host simile come paypa1.com per paypal.com sì.

In modalità in linea una discrepanza è mostrata nel colore di discrepanza che hai scelto e in grassetto.
In modalità tooltip (titolo) viene aggiunto accanto al link un distintivo badge ⚠ Discrepanza URL.

Due impostazioni correlate controllano questo comportamento:

Evidenzia i link non corrispondenti attiva o disattiva l'enfasi sulla discrepanza.
Annota solo i link non corrispondenti lascia i link onesti completamente intatti, così vengono rivelati solo quelli sospetti.

La pagina delle impostazioni: il selettore di modalità 'Rivela l'URL', l'interruttore 'Evidenzia i link non corrispondenti' e i campi per il colore di discrepanza e di corrispondenza.

Il pulsante della barra degli strumenti

In Chrome, Edge, Opera e Firefox l'icona di Reveal URLs nella barra degli strumenti è un rapido interruttore acceso/spento — cliccaci sopra per attivare o disattivare l'annotazione. Quando l'estensione è disattivata, sull'icona compare un badge OFF, e il suo tooltip ti dice se il clic la attiverà o la disattiverà. La modifica ha effetto in ogni scheda aperta contemporaneamente.

(Thunderbird non ha questo pulsante nella barra degli strumenti; usa invece l'interruttore Abilita nella pagina delle impostazioni.)

La pagina delle impostazioni

La pagina delle impostazioni contiene ogni opzione. Aprila dalla pagina delle estensioni del tuo browser (per esempio Dettagli → Opzioni dell'estensione), oppure si apre automaticamente alla prima installazione.

Abilita Reveal URLs — l'interruttore principale acceso/spento, in cima alla pagina. Ha effetto immediato, senza bisogno di salvare il resto del modulo.
Lingua di visualizzazione — scegli la lingua in cui viene mostrata la pagina delle impostazioni. Per impostazione predefinita segue la lingua del tuo browser, con l'inglese come ripiego; scegline un'altra dall'elenco per sovrascriverla. La tua scelta ha effetto subito, viene ricordata per la volta successiva ed è memorizzata solo su questo dispositivo (non modifica mai il resto delle tue impostazioni).
Rivela l'URL — scegli la modalità in linea o tooltip (titolo) (vedi sopra).
Evidenzia i link non corrispondenti — attiva o disattiva l'enfasi sulla discrepanza.
Colore di discrepanza — il colore CSS usato per un link contrassegnato (per esempio red, #cc0000 o rgb(200, 0, 0)). Il valore predefinito è il rosso.
Colore di corrispondenza — il colore dell'URL rivelato sui link onesti (senza discrepanza) (per esempio green o #0a0). Il valore predefinito è il verde.
Annota solo i link non corrispondenti — lascia i link onesti intatti.
Ignora questi host — un elenco di nomi host da saltare completamente, uno per riga. Anche i sottodomini di un host elencato vengono saltati.
Lunghezza massima dell'URL visualizzato — gli URL lunghi vengono troncati oltre questo numero di caratteri, mantenendo l'host visibile. Intervallo consentito: da 20 a
Dimensione / spessore del carattere dell'URL rivelato e Dimensione / spessore del carattere del badge di avviso — sovrascritture tipografiche facoltative; lascia vuoto per mantenere i valori predefiniti.

A parte l'interruttore principale Abilita e i controlli dei Siti attivi (che si applicano immediatamente), le modifiche vengono salvate con il pulsante Salva impostazioni.

Le impostazioni inferiori: l'elenco 'Ignora questi host', la lunghezza massima dell'URL visualizzato e i campi facoltativi per la dimensione e lo spessore del carattere dell'URL rivelato e del badge di avviso, sopra il pulsante 'Salva impostazioni'.

Siti attivi — aggiungere la tua webmail

La sezione Siti attivi, in cima alla pagina delle impostazioni, elenca le pagine su cui Reveal URLs funziona e il contenitore che racchiude ciascun corpo del messaggio.

La parte superiore della pagina delle impostazioni: l'interruttore principale 'Abilita Reveal URLs' e l'elenco 'Siti attivi', con ogni provider integrato che mostra il suo schema di corrispondenza, un interruttore 'Abilitato', un interruttore 'Sotto-frame' e il suo selettore del corpo del messaggio.

Ogni riga mostra:

lo schema di corrispondenza del sito (per esempio https://mail.example.com/*);
un interruttore Abilitato;
il selettore del corpo del messaggio (il selettore CSS per il contenitore che Reveal URLs annota), che puoi modificare;
un interruttore Sotto-frame, per i siti il cui corpo del messaggio è visualizzato all'interno di un iframe;
un pulsante Rimuovi (solo per i tuoi siti).

I provider integrati (Gmail, Outlook e Proton) possono essere disattivati e ri-mirati, ma non possono essere rimossi.

Per aggiungere il tuo sito di webmail:

Sotto Aggiungi sito, inserisci un URL di corrispondenza — uno schema di corrispondenza come https://mail.example.com/*.
Inserisci un Selettore del corpo del messaggio — un selettore CSS per il contenitore che racchiude il corpo del messaggio, per esempio .message-body.
Se il corpo del messaggio è visualizzato all'interno di un sotto-frame, seleziona Esegui anche all'interno dei sotto-frame.
Clicca su Aggiungi sito. Il tuo browser ti chiederà il permesso di accedere a quel sito; concedilo. Il sito viene aggiunto solo una volta che concedi il permesso.

Le modifiche qui si applicano immediatamente. La rimozione di un sito che hai aggiunto revoca anche il suo permesso, così Reveal URLs smette di accedervi.

Privacy

Reveal URLs funziona interamente sul tuo dispositivo. Per rivelare e controllare i link legge — solo all'interno della pagina che stai visualizzando — il testo visibile e la destinazione dei link nel messaggio che stai leggendo, oltre ai colori della pagina (così che l'URL rivelato resti leggibile). Questo viene letto mentre la pagina viene visualizzata; non viene mai memorizzato né trasmesso.

L'unica cosa che memorizza sono le tue impostazioni (come acceso/spento, modalità di rivelazione, colori, dimensioni del carattere, il tuo elenco di host da ignorare ed eventuali siti che hai aggiunto). Queste vengono salvate nell'archivio dell'estensione del tuo browser. Se la sincronizzazione del tuo browser è attiva, le tue impostazioni possono essere sincronizzate tra i tuoi dispositivi a cui hai eseguito l'accesso, gestita dal fornitore del tuo browser — mai inviata a noi. Reveal URLs non trasmette nulla.

Consulta l'informativa sulla privacy per tutti i dettagli.

Risoluzione dei problemi

Un link non viene rivelato.

Verifica che Reveal URLs sia attivo — l'icona nella barra degli strumenti non deve mostrare il badge OFF, e l'interruttore Abilita Reveal URLs nella pagina delle impostazioni deve essere attivo.
Verifica che il sito sia coperto. I provider integrati (Gmail, Outlook, Proton) funzionano da subito; qualsiasi altra webmail deve essere aggiunta sotto Siti attivi con il suo URL di corrispondenza e il selettore del corpo del messaggio.
Verifica il selettore del corpo del messaggio. Se non corrisponde al contenitore che racchiude il corpo del messaggio, i link al suo interno non verranno rivelati.
Nota che i link ad ancore interne alla pagina, e i link che usano schemi diversi da http/https (come mailto:), vengono deliberatamente saltati — così come gli host nel tuo elenco Ignora questi host.

Un provider integrato ha smesso di funzionare dopo un riprogetto.

I provider di webmail cambiano di tanto in tanto il markup delle loro pagine. Se il selettore di un provider integrato non corrisponde più dopo un cambiamento del genere, puoi correggerlo da solo: in Siti attivi, modifica il selettore del corpo del messaggio di quel provider con il nuovo contenitore.

L'URL nel tooltip non viene mostrato.

In modalità tooltip (titolo) l'URL reale è collocato nel tooltip del link, così appare solo quando passi il puntatore sopra il link. Se preferisci vedere l'URL senza passarci sopra, imposta Rivela l'URL sulla modalità in linea.

Licenza e codice sorgente

Reveal URLs è software libero, concesso in licenza secondo la GNU Affero General Public License v3.0 (AGPL-3.0-only).

Codice sorgente: https://codeberg.org/Magentron/reveal-urls
Panoramica tecnica: Architettura
Approfondimenti sul phishing tramite link: Email link phishing: your app should always show the URL