A Mozilla válasza az IDN Homograph Spoofing Attack-ra

Mozilla

A múlt héten volt szó arról, hogy a Mozilla (és más böngészők is) sebezhetőek az ún. IDN Homograph Spoofing Attack során. Tegnap Gervase Markham a staff@mozilla.org és a drivers@mozilla.org tagja bejelentette a Mozilla Alapítvány rövid távú stratégiáját a hibával kapcsolatban. A Mozilla Firefox 1.0.1 és a Mozilla 1.8 Beta kiadásokban az IDN támogatás ki lesz kapcsolva (bug 282270). Azoknak a felhasználóknak, akiknek feltétlenül szükségük van a funkcióra, egy XPI telepítésével lehetőségük lesz használni.

Nyilvánvaló ez hosszú távon nem elfogadható. Remélhetőleg a Firefox 1.1-re jobb megoldást találnak a fejlesztők.

A Mozilla Alapítvány reakciója itt.

( kozakzs | 2005. 02. 15., k – 14:37 )

AZ IDN kitalálójának kicsit elegánsabb ötlete van... Remélem A Mozilla-fejlesztők megfogadják a tanácsát, és hosszútávon nem a "kapcsoljuk ki az IDN-t, akkor baj nem lehet" megoldást favorizálják.

http://lookit.proper.com/archives/000302.html [lookit.proper.com]

( handler | 2005. 02. 15., k – 14:41 )

Erre talaltak ki a YURL-t:

http://www.waterken.com/dev/YURL/Name/

Es egy erdekes thread is kezdodott a cap-talk listan:

http://www.eros-os.org/pipermail/cap-talk/2005-February/002754.html

( handler | 2005. 02. 15., k – 14:46 )

Ez mar tenyleg hihetetlen:

Verisign signs cert with CN="CLICK YES TO CONTINUE"

http://www.benedelman.org/news/020305-1.html

Es az eredmeny:

http://www.benedelman.org/spyware/images/clickyestocontinue-020205.png

az a baj, hogy ez neked meg nekem mostantól feltűnik. de egy rookie-nak, aki épp most (akkor, a jövőben) tette fel a Mozilla-t, nem fog jelenteni semmit. "némá, egy bug, valamiért sárga a bötü."

az miért nem megoldás, hogy az ascii, stb. táblákkal átfedésben levő karaktereket nem resolvolja az idn? persze ezzel kicsit bekorlátozódik a bejegyezhető domainnevek száma, de én alapvetően az egész utf-8-asítást baromságnak tartom, úgyhogy üssetek :)

Ne haragudj, de elolvastad a Mozilla bejelentését, vagy csak odáig jutottál, hogy le lesz tiltva az IDN és egyből tollat ragadtál???

A Mozilla azt mondta, hogy az 1.0.1 -es Firefox, ill. 1.8beta Mozilla verziókban alapértelmezetten tiltva lesz az IDN, *de* az 1.1-es Firefox már permanens megoldással lesz felszerelve.

Tehát *igen* a Mozilla fejlesztők megfogadják a tanácsát.

RTFA (Read That F.* Article)

Üdv.: Tomyellow

( mrbond | 2005. 02. 15., k – 17:18 )

firefoxnál ki lehet kapcsolni az idn támogatást. műxik

lásd: http://weblabor.hu/hirek/20050215/idngond

( x-daemon | 2005. 02. 15., k – 19:24 )

és mi lenne, ha lenne a mozillában egy olyan mint a "felugró ablakok" vagy "sütikezelő", csak IDN URL-ekre? vagy letiltom mindet, vagy ha olyanra kattintok akkor szól hogy ebből gáz lehet, ebben az esetben eldönthetem mit akarok, lehet permanensen engedélyezni/tiltani vagy csak ideiglenesen engedélyezni ezt az 1 URL-t, stb...

( frakk | 2005. 02. 15., k – 19:27 )

Egyszer réges régen készítettem egy oldalat, ami ékezetes oldalak böngészésére valő és működik minden létező böngészővel. Még lynx-el is.

http://keyAll.com

magyarország.hu stb. pl kipróbálható

Ne haragudj, de elolvastad a Mozilla bejelentését, vagy csak odáig jutottál, hogy le lesz tiltva az IDN és egyből tollat ragadtál???

Természetesen végigolvastam a bejelentést, amiben ez (is) állt:

"we hope to be able to turn IDN back on againIn the future (Firefox 1.1 and beyond) we hope to be able to turn IDN back on again. We may be able to find a way to turn it on selectively for those TLDs which have a demonstrable record of good practice - but we can't promise to do that. It partly depends on how much resource maintaining a white or black list would take."

Valóban kicsit pongyolán fogalmaztam, sorry. A kikapcsoláson nyilván túl fognak lépni, a kérdés csak az, milyen megoldást választanak... Mert egyelőre tényleg hanyag eleganciával kezelik a problémát, lévén angol nyelvterületen nem gond az ékezet...

( siposa v | 2005. 02. 16., sze – 08:28 )

Rakjanak egy OCR komponenst a bongeszokbe, es ha az IDN string latvanyilag leirhato ASCII szoveggel, akkor alert() :).

Szerintem egy certificate elfogadáshoz hasonló képernyőt kéne csinálni, ahol egy IDN címet elfogadhatsz egy session-re, vagy véglegesen. Ha elfogadtad véglegesen, akkor arra a címre többet nem jön fel ez a pop-up.

A sima színes kiemelés a címsorban nem hiszem, hogy elég a felhsználóknak. Nem fognak rá figyelni. Valami olyan kell, amit explicit el kell fogadni. Szerintem.

Üdv.: Tomyellow

U.I.: Tényleg csak a pongyola fogalmazás zavart. Én egy kis lenézést éreztem belőle a Mozillások felé, és szerintem ezt nem érdemlik meg.

Van egy csomó "prohibited" nem engedélyezett karakter az IDN domain nevekben is. Szóval nem enged a rendszer minden utf8 karaktert regisztrálni.

Felfoghatatlan, hogy az ASCI karaktrerekhez megtévesztésig hasonlókat miért nem tették tiltó listára.

A képírásos domain nevenél lesz/van ebből óriási kavar. Mert ott aztán tényleg sok hasonló karakter van. Kínai legyen a talpán, aki néhány pixeles méretben mind a sok ezret meg tudja különböztetni.

Ebből a szempontból szerencse, hogy jelenleg .hu alá csak a magyar helyesírás által ismert ékezetes latin betűk regisztrálhatók.

http://www.domain.hu/domain/domainsearch/?domain=payp%26%231072%3Bl&tld=hu

(most nézem a paypal.hu -val valami kavarodás van. Lehet, hogy lesz végre paypal Mo.-n is?)

"Lehet, hogy lesz végre paypal Mo.-n is?"

Az Ebay tervezi a kelet-európai (mo-i) terjeszkedést :-), hónapokkal ezelőtt volt már ebből hír is az Origón. Ha jön, hozza a PayPalt is. Nem lenne rossz, ha végre Mo-on is lehetne használni a Paypalt!