Podvržení URL ve více prohlížečích

- kdyz to chcete do detailu, tak spravne je YaST a SuSE :-)

- co se tyka starsi verze, je to tak, ze SuSE v urcitem obdobi zivotnosti dane verze distribuce, tuto udrzuje a zaplatuje automaticky pres YaST - na zaplate se pracuje

- nejsem nijak svazan se SuSE.... jen jej pouzivam

Dnes je již správně SUSE.

Nejen velmi podobny, ale ve většině fontů na pixel stejný. Konkrétně tento znak je malé \"a\" v azbuce.

Zajímalo by mě, jak tento problém tvůrci prohlížečů mohou vyřešit, aniž by unikódové URL úplně zakázali (v některých oblastech už se docela používají).

Hmm, na te jejich (Secunia.com) "testovaci" strance je odkaz na href="http://www.paypаl.com/". Mozna jsem mimo, ale muze mi nekdo vysvetlit, co to ma spolecneho s "podvrzenym URL"? To je proste normalni link s UNICODE znakem.

No problém je ten, že ty dvě "a" vypadají úplně stejně. Hledal jsem nějaký rozdíl, ale žádný jsem nenašel.(Win 2000, FF 1.0)
To abych si všechny linky kontroloval ve zdrojáku stránky, jestli nejsou nějaké podezřelé :-(

Jako tohle jsem pochopil, ja jen nevim, jak (a jestli vubec) to souvisi s bezpecnosti. Chapu to tak, ze klepnu na odkaz root.cz, v adresnim radku se mi sice napise neco, co vypada jako root.cz, ale stranka bude jina. To snad kazdy pozna, ne? Snad kazdy pozna, ze je na jine strance, nez chtel byt. Jine "zneuziti" me nenapada. Zatim mi to prijde jen jako zajimavost ve smyslu "vypada to tak, ale neni to tak".

A co kdyz ta "jina" stranka bude uplne stejna jako novy root.cz? nic netusisi zadate jmeno a heslo ze se chcete prihlasit, a zakerny server ma vase heslo na roota..

Co root, ale co kdyz to bude stranka vasi banky? Stranka shopu, kde bezne pisete cislo kreditky? Ve spojeni s phisingem IMHO docela silna zbran. Zvlaste, pokud se takova vec dostane k beznemu uzivateli a ne ctenari Roota :)

Uprime receno, jmeno a heslo na root.cz nepovazuju za tajemstvi vzhledem k tomu, ze jsem ho zadal na nezabezpecene strance a vpodstate mi slouzi jen k tomu, abych se mohl pod sve prispevky podepsat jmenem.

Ale vim kam tim mirite, taky me to napadlo, ale v tom pripade, by ten utocnik touzici po mych soukromych udajich, musel pouzit ten samy bezpecnostni certifikat, jako maji na te zabezpecene strance", kde svoje udaje poskytuju. To je snad to same, jako "podvrzeni" URL pro ssh. Tam snad taky snadno poznate, ze se vzdaleny server "zmenil".

Tim chci rict, ze to povazuju za problem na strane uzivatele, ne na strane prohlizece.

Aj aj aj

chodite nekdy prohlizecem treba na ucet v bance. Asi jo, takze co kdyz skocite misto na strance ebanka.cz na strance ab(ruske a)ka.cz? Asize zadate klic pro vstup na ucet do ciziho formulare, ze.

omlouvam se za OFF topic.
Tento problem bych spise vydel ve zranitelnosti bankovnich aplikaci a nepovazuji za spravne pouzit priklad ebanky.cz, zivotnost vygenerovaneho klice osobni "kalkulackou" je ?! a na mobilni klic take falesna stranka nezasle kod... :-)

Ale zasle.

v eBance nedokazete prevest zadne penize na jiny ucet, ale prihlasit se do aplikace dokazete. Budete potrebovat jen podobne vypadajici URL a uzivatele co si nevsimne ze neni na zasifrovane strance a nebo holt budete muset investovat do certifikatu pro to sve URL.

neni potreba nic vypinat, staci to vhodne filtrovat nebo zvyraznovat..

eBanka není zrovna dobrý příklad na zranitelnou banku ;-) Jak s "kalkulačkou" tak i s mobilním klíčem je vždy součástí autorizace zobrazení/zadání čísla účtu a částky - odtud si nikdo "pár tisícovek" převádět nebude, i kdyby se nakrásně přihlásil na můj účet ;-) Nevím jak "internetový" klíč, nepoužívám ho (zní podezřele ;-) )

http://www.shmoo.com/idn/homograph.txt (z bugtraqu, je tam i popis historie). reakce djb na idn: http://cr.yp.to/djbdns/idn.html (thx yeti)

V about:config nastavit network.enableIDN na false. Testováno na FF 1.0 @ Debian Sarge a FF 0.93 @ Redhat 9 obojí s použitím proxy serveru i bez.

samozřejmě nejen FF, ale i Mozilla Suite ;)

Zvláštní, pod FF 1.0 pod Gentoo to nepomohlo (ani po restartu prohlížeče a vymazání cache), alespoň ta testovací stránka na Secunii mi pořád ukazuje na paypal a otevře se. :-(

Nekompromisni a ucine reseni, diky za radu! :)
Na ignorovani doplatily i mnohem lepsi a uzitecnejsi napady.
Jen zbyva presvedcit vetsinu uzivatelu internetu ke stejnemu kroku...

P.S.: Uspesne aplikovano i ve FF1.0 pro Windowsy.

Chyba není v prohlížečích, ale ve skutečnosti, že takovou doménu bylo možné vůbec zaregistrovat. Registraci provedl Verisign, přestože byl léta žádán o implementaci RFC 3490, která by takovým registracím mohla zabránit.

Více technického pozadí u Jamese Senga v příspěvku IDN and homographs spoofing.