|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
Von Anonymer Feigling am Monday 07. February 2005, 11:55 MEW (#1)
|
|
|
|
|
Alter Hut:
http://cr.yp.to/djbdns/idn.html
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Richtig. Alter Hut. Wer irgendwas von security versteht hat schon vor Jahren davor gewarnt. Von bekannten Leuten wie Bruce Schneier bis hin zu unbekannteren wie mir. *g*
--
"The more prohibitions there are, The poorer the people will be"
-- Lao Tse
|
|
|
|
|
|
|
|
|
|
|
|
|
Offensichtlich nicht laut genug. Sonst wär's vermutlich nie soweit gekommen und ich hätte ich das nicht gepostet... ;-)
Oder steckt etwa die Phishing-Lobby hinter IDNA? *g*
--
There is no place like $HOME
|
|
|
|
|
|
|
|
|
|
|
|
|
|
nicht ganz...
http://www.heise.de/newsticker/meldung/27714
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 07. February 2005, 16:49 MEW (#12)
|
|
|
|
|
Selbst bevor die Sonderzeichen eingeführt worden sind, gab es das Problem mit ähnlich aussehenden Zeichen: lIoO0
Ist mir ein Rätsel, warum bei Browsern da kein hässlicher aber eindeutiger Monospaced-Font eingesetzt wurde.
|
|
|
|
|
|
|
|
|
|
|
|
|
... dürfte nicht betroffen sein, selbst im UTF-8
Modus, ebensowenig die anderen Textbrowser wie
Links, elinks, Links+, w3m, Arachne und so weiter.
Ich bin BSDler, ich darf das!
06.03.2005 00:24 UTC
#1 der Hall of Fame:
2⁷ Kommentare
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
und warum nicht? koennen die keine UTF-8 Zeichen darstellen?
Versteh ich jetzt nicht ganz...
|
|
|
|
|
|
|
|
|
|
|
|
|
Klar, aber als Linkziel steht http://aa-aaaaaaaaa.com/
und nicht der umlautbehaftete Name.
Ich bin BSDler, ich darf das!
06.03.2005 00:24 UTC
#1 der Hall of Fame:
2⁷ Kommentare
|
|
|
|
|
|
|
|
|
|
|
|
|
Naja, ich glaube kaum, dass Leute die auf Phishing reinfallen einen Textbrowser verwenden :-)
|
|
|
|
|
|
|
|
|
|
|
|
|
Mozilla/5.0 (X11; U; Linux ppc; en-US; rv:1.7.5) Gecko/20050110 Firefox/1.0 (Debian package 1.0+dfsg.1-2)
Man sieht hier ganz klar den Unterschied. Der "a" in paypal ist kleiner und fetter.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Stimmt, hier auch. Aber "wir" sind ja wohl eh nicht das Ziel der Phising-Seiten. Das sind eher Leute, denen sowas nicht auffält. Was weiss Rainer Juhser denn von punnycode, IDN und DNS? Genau. Nichts.
Ich war ja schon immer dagegen(tm), aber man will ja lieber alle Zeichen der Welt in nem Domainnamen als Sicherheit. Switch hat's noch einigermassen vernünftig gelöst, indem nur die in .ch zu erwartenden Umlaute erlaubt werden.
Eine andere Möglichkeit wäre natürlich für die Registrars, ebensolche Versuche zu unterbieten. Für Russland wäre zB. Folgendes nicht schlecht (IMHO): entweder nur ANSI-Zeichen, oder nur kyrillische. Solche Filtersets sollten für sehr viele Fälle definierbar sein.
tL
--
... I don't like it, but I guess things happen that way ... (J. Cash)
|
|
|
|
|
|
|
|
|
|
|
|
|
Firefox unter Linux stellt die Zeichen anders dar, der Firefox unter Windows hingegen offenbar nicht.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Das kommt aber wesentlich mehr auf die installierten Fonts als auf den Browser oder das Betriebssystem an. Unter dem SuSE 9.0, an dem ich grade sitze, funktioniert das nämlich perfekt. Auf Deinem System sind die Fonts einfach nicht gut genug konfiguriert... ;-)
Braucht jemand ein Screenshot, um's zu glauben? 's wár' auch ein fvwm drumherum. :-)
--
There is no place like $HOME
|
|
|
|
|
|
|
|
|
|
|
|
|
welche Zeichen sind da alle betroffen?
Die Einzige Abhilfe besteht wohl nur noch Seiten zu besuchen, deren Adresse man manuell eingegeben hat...
Ganz fies wärs dann wenn man z.B. mit einem Javascript-Exploit so die Domainnamen von gespeicherten Lesezeichen ändern könnte.
Also z.B. http://www.bank.com/ in http://www.bаnk.com/
|
|
|
|
|
|
|
|
|
Von mtthu
(m anderskor abegglen uf gmx punkt zeha)
am Monday 07. February 2005, 14:51 MEW (#8)
(User #1241 Info)
|
|
|
|
|
Das Dumme ist, dass man vom Browser nicht gewarnt wird, wenn man eine Seite mit IDN-URL besucht. Am besten wäre es, wenn der Browser jedes mal eine Dialogbox öffnen würde, die nochmals nachfragt, ob man diese Seite wirklich besuchen will. Bei Seiten, bei denen der User keinen Punycode erwarten würde, ist der er gewarnt und das Pishingrisiko eingeschränkt. Ich sage eingeschränkt, weil die meisten User keine Dialogboxen lesen...
Ich bin zwar grundsätzlich gegen zu viele Dialogboxen, aber hier könnte es der Sicherheit etwas bringen. Übrigens steht auf boingboing auch, wie man IDN-URLs im Firefox ausschalten kann.
----------------
Eat, Drink, Drum
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Moin,
Das Problem ist nur: Wer von den Rainers kennt den Unterschied? IMO ist das ein Problem der Registrars; wie ich oben geschrieben habe, ist es durchaus möglich, dort einige Filter einzurichten, die solche Domains gar nicht erst erlauben. Alternativ (oder besser: zusätzlich) kann man deine Idee von der Dialogbox so ausbauen, dass sie eben diese Filter beachtet. Aber bei jeder punycode-Domain gewarnt zu werden ist schlicht und einfach overkill, erst recht, da ich denke, dass in einigen Jahren mindestens 30% aller Domains "(inter)nationalisiert" sind.
tL
--
... I don't like it, but I guess things happen that way ... (J. Cash)
|
|
|
|
|
|
|
|
|
|
|
|
|
Du hast natürlich recht, dass die Idee mit den Dialogboxen nicht sehr clever ist. Aber um die Zeit zu überbrücken, bis eine bessere Lösung da ist, könnte man sie allenfalls brauchen.
Achtung visionär (=realitätsfremd): Man könnte einen Filter auf Basis der digitalen Bildverarbeitung bauen. Die IDN-URL wird in eine optisch ähnliche Adresse des standardmässig verwendeten Zeichensatzes gewandelt. Diese neue URL wird im DNS gesucht. Wird sie gefunden, kann eine Warnung ausgegeben werden.
Dass die Registrars dieses Problem innert nützlicher Frist in den Griff kriegen glaube ich kaum.
----------------
Eat, Drink, Drum
|
|
|
|
|
|
|
|
|
|
|
|
|
Das könnte man auch einfacher mit simplen Ersetzungstabellen machen: a -> a. Dann einfach alle 'fremden' Zeichen quasi so ersetzen und die verbleibenden 5 Möglichkeiten im DNS abfagen.
Das könnte man als kleine lib bauen und in Firefox, Konqueror etc. integrieren - oder gleich in der punycode-lib (gibts sowas?)
|
|
|
|
|
|
|
|
|
|
|
|
|
Die Lib gibts - libidn. Aber willst du wirklich 5 DNS-Abfragen pro Zugriff - statt einer? Ich nicht wirklich. DNS-Abfragen sind ja jetzt schon zum Teil der Flaschenhals beim Browsen. Und was, wenn die so ausge"rechneten" Domains nicht die richtigen sind?
Ich würde mir da eher etwas lokales vorstellen. Meinetwegen mit einer Blacklist, die wie Virendefinitionen täglich oder wöchentlich veröffentlicht werden.
tL
--
... I don't like it, but I guess things happen that way ... (J. Cash)
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 08. February 2005, 01:48 MEW (#22)
|
|
|
|
|
mit irgendwelchen Listen rennt man aber immer hinterher...
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 08. February 2005, 10:07 MEW (#23)
|
|
|
|
|
Noch mehr Dialogboxen? Ich nerv mich schon ab den überflüssigen 404 Messageboxen.
Ich wäre da eher für eine farbliche Unterscheidung. Z.B. könnte Firefox die URL-Adressleiste von URLs mit IDN bis auf weiteres rot einfärben (statt weiss oder gelb). Wenn das Zertifikat nicht passt, macht er die Adressleiste IIRC auch rot. Rote Adressleiste hiesse dann einfach: "Nicht vertrauenswürdig".
Wer unbedingt eine IDN Domain haben muss, der muss halt vorderhand damit leben, dass ihm die Leute misstrauen.
|
|
|
|
|
