Phishing v Chrome a Firefoxu

Líbí se vám zprávička?
Podpořte redakci

Redakce 18. 4. 2017

Webové adresy používající unicode a prefix xn-- vypadají v prohlížečích Chrome a Firefox jako legitimní adresy, včetně „zeleného zámečku“. Například stránka https://xn--e1awd7f.com bude tedy vypadat jako https://epic.com. Jde o velmi starou zranitelnost Punycode.

Safari ani Internet Explorer tímto problémem netrpí. K opravě ve Firefoxu stačí nastavit network.IDN_show_punycode na true. Chyba je také opravena v Chrome 59.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?

18. 4. 2017 9:04

Saljack 43

No tak to je kokotina. Ale stejne to jde pouzit jenom pro nejake vybrana pismena (aspon v to doufam), takze to tak hrozne asi neni. Pritom by stacilo, aby unicode adresy byly oddeleny nejakou barvou (klidne podtrzeny) od ascii.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
20. 4. 2017 11:36

Vít Šesták 75

Obávám se, že toto řešení narazí na prvního béžného uživatele a i na každého druhého pokročilého uživatele, kteří si budou myslet, že jen prohlížeč změnil vzhled nebo tak něco. Muselo by se to více promyslet a otestovat…
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 4. 2017 15:22

lojzak (neregistrovaný) 185.170.41.---

Takové věci by především měla řešit politika pro registraci domén respektive registrátor. Je sice hezké, že se to bude řešit v browserech, ale je to nekoncepční. Internet není jenom web. Co až vám třeba přijde email z phishingové domény?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 4. 2017 19:37

j (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----

jasne, takze tu mame dalsi chybu ... ktera vlastne neni chybou, leda tuposti uzivatele ...

2lojzak: Tovizejo, ono nekoho zajima co ma v url ... fakt ... az tak, ze trebas chrofox uz schova i http ... i kdyby tam bylo "jduteokrast.cz" ... a web vypadal jako web banky, tak tam 80% tupcu to heslo zada. ....

Jo aha, on jim sviti ten zelenej zamecek, takze je to OK ...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 4. 2017 23:24

Filip Jirsák 100
Bronzový podporovatel

Ony to také u národních domén politiky registrace řeší. Ale u generických domén je to trochu problém, protože tam je legitimní registrovat si doménu v jakékoli znakové sadě.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 4. 2017 18:19

CSAages (neregistrovaný) ---.kolej.mff.cuni.cz

O téhle chybě se na rootu mluvilo už před deseti lety...
https://www.root.cz/zpravicky/diakritika-v-domene-eu-je-pry-otazkou-casu/174104/
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
19. 4. 2017 11:57

hawran diskuse 61
Zlatý podporovatel

Ja vidím toto:

Your connection is not secure

xn--e1awd7f.com uses an invalid security certificate.
The certificate is only valid for www.xn--e1awd7f.com
Error code: SSL_ERROR_BAD_CERT_DOMAIN
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
20. 4. 2017 8:54

Milan Keršláger 42

Opraveno v Chrome 58.0.3029.81, který vyšel 19.4.2017.

Zasílat nově přidané názory e-mailem