ugrás a tartalomhoz

Problémák a nemzetközi domain nevekkel?

Granc Róbert · 2005. Feb. 15. (K), 12.47
Mint azt korábban egy blogmarkban már említettük, egy igen fontos biztonsági probléma bukkant fel a nemzetközi domain nevek használatával kapcsolatban: megfelelően formázott Unicode karaktereket tartalmazó hivatkozással úgy lehet a böngészőt hamis oldalra csalni, hogy a felhasználó egyáltalán nem veszi észre a csalást. A hiba ráadásul a nemzetközi domain neveket (IDN) támogató minden modern böngészőt érint (az egyetlen kivétel gyakorlatilag az Internet Explorer, amely csak külön letölthető kiegészítővel támogatja az ékezetes és nem latin betűs domain neveket).

A Mozilla Alapítvány, és az Opera Software (a Mozilla, a Firefox illetve az Opera böngészők készítői) a probléma elemzésekor arra a következtetésre jutottak, hogy a jelenlegi technikákkal ezt a csalást nem lehet megakadályozni a böngésző oldalán, a domain név regisztátoroknak kellene követniük azokat a szabályokat, amelyek nem engedik meg a létező domain nevek ilyen "homografikus" változatainak regisztrálását. A problémára egyébként már 2001 decemberében (vagyis akkor, amikor még egyetlen böngésző sem támogatta a nemzetközi domain neveket!) felhívta egy elemzés a figyelmet, a regisztrátorok azonban azóta sem tudnak következetességet tanúsítani e témában.

Jelenleg az egyetlen használható megoldásnak a böngészők oldalán az IDN támogatás kikapcsolása tűnik, a Firefox és Mozilla 1.8 következő béta változatai már alapértelmezettként így érkeznek majd, és annak bekapcsolásakor figyelmeztetnek is a veszélyre. Addig is igen egyszerűen kikapcsolható a támogatás: a címsorba gépeljük be, hogy about:config, a szűrőben keressünk rá az IDN kifejezésre, majd jobb gombbal kattintsunk a megjelenő network.enableIDN kulcson és válasszuk a toggle opciót. A beállítások azonnal életbe lépnek, nem kell újraindítanunk hozzá a böngészőt.

Hosszútávú megoldás a fekete- és fehér-listák bevezetése lehetne, azaz a böngésző csak a bizonyított domain nevek esetén használná az IDN támogatást, de az ilyen listák karbantartása igen munkaigényes. Valódi megoldást csak az hozhat, ha nem csak a Mozilla Alapítvány és az Opera Software, de az egyéb gyártók és felhasználók tömege gyakorol nyomást az ICANN-ra és a domain regisztrátorokra saját szabályaik betartatása érdekében.
 
1

Kipróbálta valaki?

Ajnasz · 2005. Feb. 16. (Sze), 20.50
A módszert, ami a firefoxra vonatkozik, próbáltátok?
Én átállítottam, de a fent megjelölt oldalon lévő fake domainek továbbra is működnek.
Ha ékezetes domaint írok be, vagy akár bemásolom a címsorba "kódostól" a címet, akkor hibát jelez, de ha csak simán kattintok, akkor ugyanúgy továbbmegy a fake oldalra.
2

Nekem mûködik

Granc Róbert · 2005. Feb. 16. (Sze), 23.45
Én két gépen is átállítottam (Firefox 1+, WinXP és Win2K) és gond nélkül mûködik, a kattintásra sem megy tovább...

Robi
3

Érdekes

Ajnasz · 2005. Feb. 17. (Cs), 00.02
Mostmár nekem is jó. Pedig az előbb is be volt állítva, különben a címsorost sem tiltotta volna le.
Mindegy, köszi. :)