Problémák a nemzetközi domain nevekkel?
Mint azt korábban egy blogmarkban már említettük, egy igen fontos biztonsági probléma bukkant fel a nemzetközi domain nevek használatával kapcsolatban: megfelelően formázott Unicode karaktereket tartalmazó hivatkozással úgy lehet a böngészőt hamis oldalra csalni, hogy a felhasználó egyáltalán nem veszi észre a csalást. A hiba ráadásul a nemzetközi domain neveket (IDN) támogató minden modern böngészőt érint (az egyetlen kivétel gyakorlatilag az Internet Explorer, amely csak külön letölthető kiegészítővel támogatja az ékezetes és nem latin betűs domain neveket).
A Mozilla Alapítvány, és az Opera Software (a Mozilla, a Firefox illetve az Opera böngészők készítői) a probléma elemzésekor arra a következtetésre jutottak, hogy a jelenlegi technikákkal ezt a csalást nem lehet megakadályozni a böngésző oldalán, a domain név regisztátoroknak kellene követniük azokat a szabályokat, amelyek nem engedik meg a létező domain nevek ilyen "homografikus" változatainak regisztrálását. A problémára egyébként már 2001 decemberében (vagyis akkor, amikor még egyetlen böngésző sem támogatta a nemzetközi domain neveket!) felhívta egy elemzés a figyelmet, a regisztrátorok azonban azóta sem tudnak következetességet tanúsítani e témában.
Jelenleg az egyetlen használható megoldásnak a böngészők oldalán az IDN támogatás kikapcsolása tűnik, a Firefox és Mozilla 1.8 következő béta változatai már alapértelmezettként így érkeznek majd, és annak bekapcsolásakor figyelmeztetnek is a veszélyre. Addig is igen egyszerűen kikapcsolható a támogatás: a címsorba gépeljük be, hogy
Hosszútávú megoldás a fekete- és fehér-listák bevezetése lehetne, azaz a böngésző csak a bizonyított domain nevek esetén használná az IDN támogatást, de az ilyen listák karbantartása igen munkaigényes. Valódi megoldást csak az hozhat, ha nem csak a Mozilla Alapítvány és az Opera Software, de az egyéb gyártók és felhasználók tömege gyakorol nyomást az ICANN-ra és a domain regisztrátorokra saját szabályaik betartatása érdekében.
■ A Mozilla Alapítvány, és az Opera Software (a Mozilla, a Firefox illetve az Opera böngészők készítői) a probléma elemzésekor arra a következtetésre jutottak, hogy a jelenlegi technikákkal ezt a csalást nem lehet megakadályozni a böngésző oldalán, a domain név regisztátoroknak kellene követniük azokat a szabályokat, amelyek nem engedik meg a létező domain nevek ilyen "homografikus" változatainak regisztrálását. A problémára egyébként már 2001 decemberében (vagyis akkor, amikor még egyetlen böngésző sem támogatta a nemzetközi domain neveket!) felhívta egy elemzés a figyelmet, a regisztrátorok azonban azóta sem tudnak következetességet tanúsítani e témában.
Jelenleg az egyetlen használható megoldásnak a böngészők oldalán az IDN támogatás kikapcsolása tűnik, a Firefox és Mozilla 1.8 következő béta változatai már alapértelmezettként így érkeznek majd, és annak bekapcsolásakor figyelmeztetnek is a veszélyre. Addig is igen egyszerűen kikapcsolható a támogatás: a címsorba gépeljük be, hogy
about:config, a szűrőben keressünk rá az IDN kifejezésre, majd jobb gombbal kattintsunk a megjelenő network.enableIDN kulcson és válasszuk a toggle opciót. A beállítások azonnal életbe lépnek, nem kell újraindítanunk hozzá a böngészőt.Hosszútávú megoldás a fekete- és fehér-listák bevezetése lehetne, azaz a böngésző csak a bizonyított domain nevek esetén használná az IDN támogatást, de az ilyen listák karbantartása igen munkaigényes. Valódi megoldást csak az hozhat, ha nem csak a Mozilla Alapítvány és az Opera Software, de az egyéb gyártók és felhasználók tömege gyakorol nyomást az ICANN-ra és a domain regisztrátorokra saját szabályaik betartatása érdekében.
Kipróbálta valaki?
Én átállítottam, de a fent megjelölt oldalon lévő fake domainek továbbra is működnek.
Ha ékezetes domaint írok be, vagy akár bemásolom a címsorba "kódostól" a címet, akkor hibát jelez, de ha csak simán kattintok, akkor ugyanúgy továbbmegy a fake oldalra.
Nekem mûködik
Robi
Érdekes
Mindegy, köszi. :)