Nyt phishing-trick: Umuligt at gennemskue falske adresser med kyrilliske bogstaver

Det stiller jo så bare krav til den måde browserne implementerer IDN på.

Chromes politik kan læses på
http://www.chromium.org/developers/design-documents/idn-in-google-chrome og der hæfter jeg mig bl.a. ved:

Google Chrome will always display punycode for components that mix letters from multiple languages.

Sidst jeg undersøgte Firefox' IDN-håndtering var den baseret på whitelistning af top-domæner (fx ansås .dk for et sikkert top-domæne at vise IDN-navne på).

Jo, der er forskel på de to

• Nej, ikke når man kigger på html'en for artiklen her :)

Der står der nemlig at der i nu kun er observeret få Homograph Spoofing Attacks - der ikke nødvendigt at bruge dem da ingen ser ud til at være opmærksom på URLen...

http://www.heise.de/newsticker/meldung/Einzelne-Bande-war-fuer-zwei-Drit...

'endnu'. Ikke 'i nu'.

Er det bare mig, eller er det ikke mere interessant om man kan købe nordea.dk's certifikat, ved blot at bruge et andet alfabet til både domainet og SSL certikatet?

Men har vi ikke set denne slags "angreb" før?

Men har vi ikke set denne slags "angreb" før?

Joda, op til flere gange.

Det kan måske forklares med, at siden sendes i ISO-8859-1, som ikke indeholder de kyrilliske bogstaver forfatteren forsøger at vise...

Undrer mig over hvorfor ingen har tænkt over at begrænse tegnsættet på toplevel-domænet.

Ville give god mening at æ, ø og å kunne bruges i .dk men ikke andre steder i verden. På den måde kan du kun lave numre med f.eks. paypal.ru. Det reducerer kompleksiteten af problemet drastisk skulle jeg mene, eftersom det er lidt nemmere at håndtere typo-squatting på dit eget modersmål, end på alle tænkelige tegnsæt på tværs af jorden.

Ideen er god, men nok lidt svær at administrere, da der ikke i Unicode er angivet nationalitet på de enkelte tegn. Jo, der står Greek, Arabic, Cyrillic osv. ved disse specifikke alfabeter, men danske, svenske, tyske, polske osv. bogstaver er ikke markeret som sådan.

Men man kunne selvfølgelig bede de lokale myndigheder i hvert land om at specificere, hvilke tegn de tillod i lokale domænenavne. Det skal der nok komme en del sjove lokale diskussioner ud af.

Problemet med at bruge kyrilliske eller græske bogstaver med samme udseende som det latinske bogstav, kunne vel undgås ved at forbyde mixet brug af alfabeter.

det er et forholdsvist simpet tjek ved registreringen af det nye domænenavn.

Under alle omstændigheder så vil browsere og spam fighter tools med lethed kunne slå til der og stoppe problemet.

Undrer mig over hvorfor ingen har tænkt over at begrænse tegnsættet på toplevel-domænet. Ville give god mening at æ, ø og å kunne bruges i .dk men ikke andre steder i verden.

Det er jo også det man faktisk har gjort på fx .dk hvor kun æ, ø, å, ä, ö, ü og é er tilladte.

Og det er det valg der har fået Firefox til at whiteliste IDN-domæner under .dk

Ville give god mening at æ, ø og å kunne bruges i .dk men ikke andre steder i verden.

De bruges faktisk også i Norge.

Æ og ø bruges også på færøsk. De bruger somme tider á som å. Å bruges også på svensk, æ også på islandsk.

Раураl.com - Paypal.com.
Det første har 3 kyrilliske bogstaver indsat, det andet kun danske.

Det ser så ud til ikke at være et problem lige her. Men med en rent unicoded side, kan det ikke ses.