Podvržení URL ve více prohlížečích

- kdyz to chcete do detailu, tak spravne je YaST a SuSE :-)

- co se tyka starsi verze, je to tak, ze SuSE v urcitem obdobi zivotnosti dane verze distribuce, tuto udrzuje a zaplatuje automaticky pres YaST - na zaplate se pracuje

- nejsem nijak svazan se SuSE.... jen jej pouzivam

Nejen velmi podobny, ale ve většině fontů na pixel stejný. Konkrétně tento znak je malé \"a\" v azbuce.

Zajímalo by mě, jak tento problém tvůrci prohlížečů mohou vyřešit, aniž by unikódové URL úplně zakázali (v některých oblastech už se docela používají).

Hmm, na te jejich (Secunia.com) "testovaci" strance je odkaz na href="http://www.paypаl.com/". Mozna jsem mimo, ale muze mi nekdo vysvetlit, co to ma spolecneho s "podvrzenym URL"? To je proste normalni link s UNICODE znakem.

No problém je ten, že ty dvě "a" vypadají úplně stejně. Hledal jsem nějaký rozdíl, ale žádný jsem nenašel.(Win 2000, FF 1.0)
To abych si všechny linky kontroloval ve zdrojáku stránky, jestli nejsou nějaké podezřelé :-(

Jako tohle jsem pochopil, ja jen nevim, jak (a jestli vubec) to souvisi s bezpecnosti. Chapu to tak, ze klepnu na odkaz root.cz, v adresnim radku se mi sice napise neco, co vypada jako root.cz, ale stranka bude jina. To snad kazdy pozna, ne? Snad kazdy pozna, ze je na jine strance, nez chtel byt. Jine "zneuziti" me nenapada. Zatim mi to prijde jen jako zajimavost ve smyslu "vypada to tak, ale neni to tak".

Co root, ale co kdyz to bude stranka vasi banky? Stranka shopu, kde bezne pisete cislo kreditky? Ve spojeni s phisingem IMHO docela silna zbran. Zvlaste, pokud se takova vec dostane k beznemu uzivateli a ne ctenari Roota :)

Uprime receno, jmeno a heslo na root.cz nepovazuju za tajemstvi vzhledem k tomu, ze jsem ho zadal na nezabezpecene strance a vpodstate mi slouzi jen k tomu, abych se mohl pod sve prispevky podepsat jmenem.

Ale vim kam tim mirite, taky me to napadlo, ale v tom pripade, by ten utocnik touzici po mych soukromych udajich, musel pouzit ten samy bezpecnostni certifikat, jako maji na te zabezpecene strance", kde svoje udaje poskytuju. To je snad to same, jako "podvrzeni" URL pro ssh. Tam snad taky snadno poznate, ze se vzdaleny server "zmenil".

Tim chci rict, ze to povazuju za problem na strane uzivatele, ne na strane prohlizece.

Aj aj aj

chodite nekdy prohlizecem treba na ucet v bance. Asi jo, takze co kdyz skocite misto na strance ebanka.cz na strance ab(ruske a)ka.cz? Asize zadate klic pro vstup na ucet do ciziho formulare, ze.

http://www.shmoo.com/idn/homograph.txt (z bugtraqu, je tam i popis historie). reakce djb na idn: http://cr.yp.to/djbdns/idn.html (thx yeti)

V about:config nastavit network.enableIDN na false. Testováno na FF 1.0 @ Debian Sarge a FF 0.93 @ Redhat 9 obojí s použitím proxy serveru i bez.

samozřejmě nejen FF, ale i Mozilla Suite ;)

Zvláštní, pod FF 1.0 pod Gentoo to nepomohlo (ani po restartu prohlížeče a vymazání cache), alespoň ta testovací stránka na Secunii mi pořád ukazuje na paypal a otevře se. :-(

Nekompromisni a ucine reseni, diky za radu! :)
Na ignorovani doplatily i mnohem lepsi a uzitecnejsi napady.
Jen zbyva presvedcit vetsinu uzivatelu internetu ke stejnemu kroku...

P.S.: Uspesne aplikovano i ve FF1.0 pro Windowsy.

Chyba není v prohlížečích, ale ve skutečnosti, že takovou doménu bylo možné vůbec zaregistrovat. Registraci provedl Verisign, přestože byl léta žádán o implementaci RFC 3490, která by takovým registracím mohla zabránit.

Více technického pozadí u Jamese Senga v příspěvku IDN and homographs spoofing.