hi,

Ich verstehe nur den sicherheitstechnischen Unterschied zwischen
http://deine-onlinebanking-seite.tld@blah.blubb.phishing.example.com/ und
http://deine-onlinebanking-seite.tld.blah.blubb.phishing.example.com/ oder
http://blah.blubb.phishing.example.com/deine-onlinebanking-seite.tld/ nicht so ganz...

Der "Unterschied" ist der, dass ein Teil der DAUs inzwischen gesagt bekommen hat, dass er schauen soll, ob "der Anfang von der Seite stimmt" (nach dem http://).
Gut gemeinter Ratschlag, aber eben unvollständig und damit potentiell gefährlich.

Für den derart in Bezug auf die Phishing-Problematik inzwischen zumindest teil-sensibilisierten DAU, der also gewissenhaft prüft, ob "am Anfang" auch wirklich der "Domainname" deine-onlinebanking-seite.tld steht, ist
http://deine-onlinebanking-seite.tld@blah.blubb.phishing.example.com/
also "echt".

http://blah.blubb.phishing.example.com/deine-onlinebanking-seite.tld/
hingegen erkennt er, auf Grund oben erwähnter Sensibilisierung durch Freunde/Bekannte/Medien als "falsch", weil da die Adresse seiner Bank eben nicht "am Anfang" steht.

Drauf reinfallen tun immer welche (leider...)

Dabei muss man aber dazu sagen, dass es in diversen Browsern ja auch noch Probleme mit der @-Notation gab, wo dann bei bestimmten Konstellationen der Teil danach (bzw. in manchen Fällen sogar einschließlich des @) beim Überfahren eines solchen Links in der Statuszeile, bzw. teilweise sogar in der Adresszeile IIRC gar nicht mehr angezeigt wurde.

Bei Überfahren/Aufruf von
http://deine-onlinebanking-seite.tld@blah.blubb.phishing.example.com/
wurde dann also im Zweifelsfalle wirklich nur noch
http://deine-onlinebanking-seite.tld
als Adresse angezeigt - und da hat auch der wirklich aufmerksame Nutzer keine große Chance mehr, das auf Anhieb zu merken.

Da ist es also konsequenter, dieses zweifelhafte Feature von HTTP-URLs mit enthaltenen Zugangsdaten lieber gleich abzuschießen.

gruß,
wahsaga