Reveal URLs — Podręcznik użytkownika

Reveal URLs to mała rozszerzenie przeglądarki (oraz dodatek do Thunderbirda), które pokazuje ci, dokąd odnośnik w twojej poczcie naprawdę prowadzi, dzięki czemu możesz rozpoznać link phishingowy, zanim w niego klikniesz.

Ten podręcznik wyjaśnia, jak zainstalować Reveal URLs i jak z niego korzystać. To, jak obchodzimy się z twoimi danymi, opisuje polityka prywatności; techniczny przegląd tego, jak rozszerzenie jest zbudowane, znajdziesz w przeglądzie architektury.

Znalazłeś błąd, odnośnik, który został niesłusznie oznaczony (lub pominięty), albo hosta webmaila, który powinien być obsługiwany? Zgłoś to na trackerze zgłoszeń Codeberg.

Spis treści

• Co robi i dlaczego
• Obsługiwane przeglądarki i klient poczty
• Instalacja
• Korzystanie
• Prywatność
• Rozwiązywanie problemów
• Licencja i kod źródłowy

Co robi i dlaczego

E-mail phishingowy ukrywa wrogie miejsce docelowe za wiarygodnie wyglądającym tekstem odnośnika. Tekst może brzmieć paypal.com, podczas gdy odnośnik w rzeczywistości wskazuje na paypa1.com lub innego łudząco podobnego hosta. Widoczny tekst może kłamać; rzeczywiste miejsce docelowe nie może.

Reveal URLs odczytuje każdy odnośnik w wiadomości, którą czytasz, i pokazuje ci jego rzeczywiste miejsce docelowe. Gdy host wymieniony w tekście odnośnika nie zgadza się z hostem, na który odnośnik faktycznie wskazuje, Reveal URLs oznacza go, dzięki czemu niezgodność jest oczywista, zanim klikniesz.

Wszystko odbywa się na twoim własnym urządzeniu. Reveal URLs nie wysyła niczego do nas ani do żadnej strony trzeciej — nie ma serwera, analityki ani śledzenia. Zobacz politykę prywatności, aby poznać wszystkie szczegóły.

Obsługiwane przeglądarki i klient poczty

Reveal URLs działa na:

• Google Chrome
• Microsoft Edge
• Opera
• Mozilla Firefox
• Mozilla Thunderbird (desktopowy klient poczty)

Wersja dla Safari nie jest jeszcze dostarczana; planowana jest na późniejszą fazę.

Na celach przeglądarkowych Reveal URLs adnotuje odnośniki w twoim webmailu. W Thunderbirdzie adnotuje odnośniki w e-mailu, który czytasz, bezpośrednio w kliencie poczty.

Instalacja

Ze sklepu twojej przeglądarki lub klienta poczty (zalecane)

Po opublikowaniu zainstaluj Reveal URLs ze sklepu dla twojej przeglądarki lub klienta poczty. Publikacja jest jeszcze w toku, więc te wpisy są zamierzoną drogą dystrybucji, a nie działającymi dziś odnośnikami:

• Chrome — Chrome Web Store
• Edge — Microsoft Edge Add-ons
• Opera — strona dodatków Opery
• Firefox — Firefox Add-ons (AMO)
• Thunderbird — Thunderbird Add-ons (ATN)

Samodzielne ładowanie builda (programiści i wczesne testowanie)

Jeśli zbudowałeś Reveal URLs ze źródeł, możesz załadować rozpakowany build bezpośrednio. Każdy cel jest budowany poleceniem make i tworzony pod dist/<target>/:

make build-chrome        # produces dist/chrome
make build-edge          # produces dist/edge
make build-opera         # produces dist/opera
make build-firefox       # produces dist/firefox
make build-thunderbird   # produces dist/thunderbird

Następnie załaduj powstały folder:

• Chrome — otwórz chrome://extensions, włącz Tryb programisty, kliknij Załaduj rozpakowane i wybierz dist/chrome.
• Edge — otwórz edge://extensions, włącz Tryb programisty, kliknij Załaduj rozpakowane i wybierz dist/edge.
• Opera — otwórz opera://extensions, włącz Tryb programisty, kliknij Załaduj rozpakowane i wybierz dist/opera.
• Firefox — otwórz about:debugging, wybierz Ten Firefox, kliknij Załaduj tymczasowy dodatek i wybierz dowolny plik wewnątrz dist/firefox (na przykład jego manifest.json). Tymczasowy dodatek jest usuwany po ponownym uruchomieniu Firefoksa.
• Thunderbird — zainstaluj tymczasowy dodatek z dist/thunderbird w ten sam sposób (przez Narzędzia → Narzędzia programistyczne → Debuguj dodatki → Załaduj tymczasowy dodatek).

Strona ustawień otwiera się automatycznie przy pierwszej instalacji rozszerzenia.

Korzystanie

Od razu po instalacji Reveal URLs adnotuje odnośniki w wiadomościach u wbudowanych dostawców — bez żadnej konfiguracji:

• Gmail (mail.google.com)
• Outlook Live (outlook.live.com)
• Outlook w sieci / Microsoft 365 (outlook.office.com)
• Proton Mail (mail.proton.me)

Adnotacja jest ograniczona do treści wiadomości, więc własny interfejs aplikacji — jej pasek boczny, okno tworzenia wiadomości i paski narzędzi — pozostaje nietknięty. W Thunderbirdzie objęty jest cały wyrenderowany e-mail.

Dwa tryby ujawniania

Wybierasz, jak rzeczywisty URL jest pokazywany, w sekcji Ujawnij URL na stronie ustawień:

• W wierszu — rzeczywisty URL jest pokazywany we własnym wierszu, tuż nad tekstem odnośnika. To ustawienie domyślne.
• W dymku (tytule) odnośnika — rzeczywisty URL jest umieszczany w dymku odnośnika, dzięki czemu pojawia się, gdy najedziesz na odnośnik.

Podświetlanie niezgodności

Gdy host wymieniony w widocznym tekście odnośnika nie zgadza się z hostem, na który odnośnik faktycznie wskazuje, Reveal URLs oznacza to jako niezgodność. Porównanie odbywa się na rejestrowalnej domenie, więc uczciwa subdomena, taka jak mail.example.com dla example.com, nie jest oznaczana, podczas gdy łudząco podobna, taka jak paypa1.com dla paypal.com, jest.

• W trybie w wierszu niezgodność jest pokazywana w wybranym przez ciebie kolorze niezgodności i pogrubiona.
• W trybie dymka (tytułu) obok odnośnika dodawana jest wyróżniająca się odznaka ⚠ niezgodność URL.

Steruje tym dwa powiązane ustawienia:

• Podświetlaj niezgodne odnośniki włącza lub wyłącza wyróżnienie niezgodności.
• Adnotuj tylko niezgodne odnośniki pozostawia uczciwe odnośniki całkowicie nietknięte, dzięki czemu ujawniane są tylko te podejrzane.

Przycisk na pasku narzędzi

W Chrome, Edge, Operze i Firefoksie ikona Reveal URLs na pasku narzędzi to szybki przełącznik włącz/wyłącz — kliknij ją, aby przełączyć adnotację. Gdy rozszerzenie jest wyłączone, na ikonie pojawia się odznaka OFF, a jej dymek mówi ci, czy kliknięcie włączy je, czy wyłączy. Zmiana wchodzi w życie we wszystkich otwartych kartach naraz.

(Thunderbird nie ma tego przycisku na pasku narzędzi; zamiast tego użyj przełącznika Włącz na stronie ustawień.)

Strona ustawień

Strona ustawień zawiera każdą opcję. Otwórz ją ze strony rozszerzeń swojej przeglądarki (na przykład Szczegóły → Opcje rozszerzenia) lub otwiera się automatycznie przy pierwszej instalacji.

• Włącz Reveal URLs — główny przełącznik włącz/wyłącz, na samej górze strony. Wchodzi w życie natychmiast, bez potrzeby zapisywania reszty formularza.
• Język wyświetlania — wybierz język, w którym pokazywana jest strona ustawień. Domyślnie podąża za językiem twojej przeglądarki, z angielskim jako rozwiązaniem awaryjnym; wybierz inny z listy, aby to nadpisać. Twój wybór wchodzi w życie od razu, jest zapamiętywany na następny raz i jest przechowywany tylko na tym urządzeniu (nigdy nie zmienia reszty twoich ustawień).
• Ujawnij URL — wybierz tryb w wierszu lub w dymku (tytule) (zobacz powyżej).
• Podświetlaj niezgodne odnośniki — włącz lub wyłącz wyróżnienie niezgodności.
• Kolor niezgodności — kolor CSS używany dla oznaczonego odnośnika (na przykład red, #cc0000 lub rgb(200, 0, 0)). Domyślny jest czerwony.
• Kolor zgodności — kolor ujawnionego URL na uczciwych (niezgodnych z niezgodnością) odnośnikach (na przykład green lub #0a0). Domyślny jest zielony.
• Adnotuj tylko niezgodne odnośniki — pozostaw uczciwe odnośniki nietknięte.
• Ignoruj te hosty — lista nazw hostów do całkowitego pominięcia, po jednej w wierszu. Subdomeny wymienionego hosta są również pomijane.
• Maksymalna wyświetlana długość URL — długie URL-e są skracane powyżej tej liczby znaków, z zachowaniem widocznego hosta. Dozwolony zakres: od 20 do 2000.
• Rozmiar / grubość czcionki ujawnionego URL oraz Rozmiar / grubość czcionki odznaki ostrzegawczej — opcjonalne nadpisania typografii; pozostaw puste, aby zachować wartości domyślne.

Poza głównym przełącznikiem Włącz i sterowaniem Aktywnymi witrynami (które są stosowane od razu) zmiany są zapisywane przyciskiem Zapisz ustawienia.

Aktywne witryny — dodawanie własnego webmaila

Sekcja Aktywne witryny, na górze strony ustawień, wymienia strony, na których działa Reveal URLs, oraz kontener mieszczący każdą treść wiadomości.

Każdy wiersz pokazuje:

• wzorzec dopasowania witryny (na przykład https://mail.example.com/*);
• przełącznik Włączone;
• selektor treści wiadomości (selektor CSS dla kontenera, który Reveal URLs adnotuje), który możesz edytować;
• przełącznik Podramki, dla witryn, których treść wiadomości jest renderowana wewnątrz iframe;
• przycisk Usuń (tylko dla twoich własnych witryn).

Wbudowani dostawcy (Gmail, Outlook i Proton) mogą być wyłączeni i przekierowani, ale nie mogą zostać usunięci.

Aby dodać własną witrynę webmaila:

1. W sekcji Dodaj witrynę wprowadź URL dopasowania — wzorzec dopasowania, taki jak https://mail.example.com/*.
2. Wprowadź Selektor treści wiadomości — selektor CSS dla kontenera, który mieści treść wiadomości, na przykład .message-body.
3. Jeśli treść wiadomości jest renderowana wewnątrz podramki, zaznacz Uruchamiaj również wewnątrz podramek.
4. Kliknij Dodaj witrynę. Twoja przeglądarka poprosi o pozwolenie na dostęp do tej witryny; udziel go. Witryna jest dodawana dopiero po udzieleniu pozwolenia.

Zmiany tutaj są stosowane od razu. Usunięcie witryny, którą dodałeś, cofa również jej pozwolenie, więc Reveal URLs przestaje uzyskiwać do niej dostęp.

Prywatność

Reveal URLs działa w całości na twoim własnym urządzeniu. Aby ujawnić i sprawdzić odnośniki, odczytuje — tylko w obrębie strony, którą oglądasz — widoczny tekst i miejsce docelowe odnośników w wiadomości, którą czytasz, oraz kolory strony (aby ujawniony URL pozostał czytelny). Jest to odczytywane podczas renderowania strony; nigdy nie jest przechowywane ani przesyłane.

Jedyne, co przechowuje, to twoje własne ustawienia (takie jak włączone/wyłączone, tryb ujawniania, kolory, rozmiary czcionek, twoja lista ignorowania i wszelkie dodane przez ciebie witryny). Są one zapisywane w pamięci rozszerzeń twojej przeglądarki. Jeśli synchronizacja twojej przeglądarki jest włączona, twoje ustawienia mogą być synchronizowane między twoimi zalogowanymi urządzeniami, obsługiwane przez dostawcę twojej przeglądarki — nigdy nie wysyłane do nas. Reveal URLs niczego nie przesyła.

Zobacz politykę prywatności, aby poznać wszystkie szczegóły.

Rozwiązywanie problemów

Odnośnik nie jest ujawniany.

• Sprawdź, czy Reveal URLs jest włączone — ikona na pasku narzędzi nie może pokazywać odznaki OFF, a przełącznik Włącz Reveal URLs na stronie ustawień musi być włączony.
• Sprawdź, czy witryna jest objęta. Wbudowani dostawcy (Gmail, Outlook, Proton) działają od razu; każdy inny webmail musi zostać dodany w Aktywnych witrynach wraz z jego URL dopasowania i selektorem treści wiadomości.
• Sprawdź selektor treści wiadomości. Jeśli nie pasuje do kontenera, który mieści treść wiadomości, odnośniki wewnątrz tego kontenera nie zostaną ujawnione.
• Zauważ, że odnośniki do kotwic w obrębie strony oraz odnośniki używające schematów innych niż http/https (takie jak mailto:) są celowo pomijane — podobnie jak hosty na twojej liście Ignoruj te hosty.

Wbudowany dostawca przestał działać po przeprojektowaniu.

Dostawcy webmaila od czasu do czasu zmieniają znaczniki swoich stron. Jeśli selektor wbudowanego dostawcy po takiej zmianie już nie pasuje, możesz to poprawić samodzielnie: w Aktywnych witrynach zmień selektor treści wiadomości tego dostawcy na nowy kontener.

URL w dymku się nie pokazuje.

W trybie dymka (tytułu) rzeczywisty URL jest umieszczany w dymku odnośnika, więc pojawia się tylko wtedy, gdy najedziesz na odnośnik. Jeśli wolisz zobaczyć URL bez najeżdżania, przełącz Ujawnij URL na tryb w wierszu.

Licencja i kod źródłowy

Reveal URLs jest wolnym oprogramowaniem, licencjonowanym na warunkach GNU Affero General Public License v3.0 (AGPL-3.0-only).

• Kod źródłowy: https://codeberg.org/Magentron/reveal-urls
• Przegląd techniczny: Architektura
• Dalsza lektura o phishingu odnośników: Email link phishing: your app should always show the URL