Тестовая страница на которой показана возможность подмены адреса - http://www.shmoo.com/idn/
Нажмите на ней любую из ссылок
Click here to enter paypal
Click here to enter paypal via ssl
Удивитесь новому интерфейсу сайта http://www.pаypal.com/ :-)
Уязвимость существует в Firefox 1.0, Camino .8.5, Mozilla 1.6, Safari 1.2.5, Opera 7.54, Omniweb 5.
Не существует в IE.
В браузерах семейства Mozilla уязвимость можно обойти, установив переменную network.enableIDN в false (хотя вы тогда лишитесь поддержки IDN)
подскажите неучу, а что такое IDN ?
Так развести так можно же, а заплатка есть для Mozilla ?
подскажите неучу, а что такое IDN
Интернационализированные доменные имена, то бишь доменные имена с не-латинскими буквами (типа www.москва.ru )
http://en.wikipedia.org/wiki/Internationalized_domain_names
Если внимательно посмотреть на открывшуюся ссылку, то можно заметить что в слове paypal буквы a имеют неодинаковую высоту.
Грубо говоря уязвимость такова - вы регистрируете сайт www.paypаl.com. При этом одна "a" в имени сайта латинская, вторая "a" - русская.
С точки зрения браузера это совершенно разные сайты. С точки зрения юзера - URL в строке адреса будет выглядеть абсолютно одинаково и если он не будет разглядывать URL под микроскопом или не смотреть HTTP-заголовки, он легко поведется.
Неуязвимость IE к атаке обьясняется тем что он не понимает IDN без специального плагина. С плагином IE тоже уязвим.
Так развести так можно же, а заплатка есть для Mozilla ?
Workaround я привел выше. Заплатки пока нет.
Дискуссия на Slashdot, если кому интересно - http://it.slashdot.org/article.pl?sid=05/02/07/1323206&tid=172&tid=113&tid=154&tid=95&tid=1
Уязвимость существует в Firefox 1.0, Camino .8.5, Mozilla 1.6, Safari 1.2.5, Opera 7.54, Omniweb 5.
Не существует в IE.
Ну уязвимость это слишком громко сказано, с поддержкой Internationalized Domain Names никуда от похожести адресов не денешься.
А что касается ИЕ так (по крайней мере 5 и 5.5 версии) просто не поддерживает эту фишку 
а любимый wget говорит "Resolving www.p%e0ypal.com ... failed: Host not found." )
Так развести так можно же, а заплатка есть для Mozilla ?
А, простите, от чего заплатка-то ? это же все-таки не уязвимость в полном смысле
P.S. на счет похожести... обратите внимание на написание адреса в "Resolving..." и в статус-баре
тег URL не использовался )
Ну уязвимость это слишком громко сказано, с поддержкой Internationalized Domain Names никуда от похожести адресов не денешься.
Это конечно не уязвимость в чистом виде, но это будет серьезной проблемой для многих пользователей.
Я уверен для пользователей Mozilla что-нибудь придумают.
А тем кто юзает Operу повезло меньше:
http://www.shmoo.com/idn/homograph.txt
VI. Vendor Responses
Verisign: No response yet.
Apple: No response yet.
Opera: They believe they have correctly implemented IDN, and will not be
making any changes.
Mozilla: Working on finding a good long-term solution; provided clear
workaround for disabling IDN.
Я теперь понял, это не баг, это просто такая подмашка, хее буду знать ) .....
P.S. на счет похожести... обратите внимание на написание адреса в "Resolving..." и в статус-баре
тег URL не использовался
Я тоже это заметил, но только потому что внимательно смотрел.
Не все смотрят на строку статуса, к тому же она у меня открывается слишком быстро - довольно трудно заметить.
Вышло предупреждение от Secunia - http://secunia.com/multiple_browsers_idn_spoofing_test/
The problem is caused due to an unintended result of the IDN (International Domain Name) implementation, which allows using international characters in domain names.
This can be exploited by registering domain names with certain international characters that resembles other commonly used characters, thereby causing the user to believe they are on a trusted site.
Уязвимы:
Mozilla 1.7.x
Mozilla Firefox 0.x
Mozilla Firefox 1.x
Opera 7.x
OmniWeb 5.x
Konqueror 3.x
Netscape 7.x
Safari 1.x
Solution:
Don't follow links from untrusted sources.Manually type the URL in the address bar.
Правкой файла userContent.css можно изменить курсор для Java - ссылок. Может, можно что-нибудь подобное и для обсуждаемых здесь ссылок ?
Появилась идея, как предупредить пользователя FF о подобных нехороших ссылках.
Почитал учебник по JavaScript и интереса ради дополнил расширение TooltipEnhancer 0.4.1.
Теперь оно у меня на ссылках, которые содержат нелатинские символы, показывает подсказку такого вида: "!!!!! -> http://...", то есть, как бы предупреждение. К alt/title тегам (которые TooltipEnhancer тоже отображает) это не относится, только к ссылкам.
Просьба поставить в известность автора расширения (на английском написать не смогу).
Домашняя страничка расширения, судя по записи в файле install.rdf, http://www.krickelkrackel.de/tooltipenh … nhhelp.htm. Скачивал я его отсюда: http://www.extensionsmirror.nl/extfiref … _0.4.1.xpi.
Появилась идея, как предупредить пользователя FF о подобных нехороших ссылках.
Почитал учебник по JavaScript и интереса ради дополнил расширение TooltipEnhancer 0.4.1.
Теперь оно у меня на ссылках, которые содержат нелатинские символы, показывает подсказку такого вида: "!!!!! -> http://...", то есть, как бы предупреждение. К alt/title тегам (которые TooltipEnhancer тоже отображает) это не относится, только к ссылкам.Просьба поставить в известность автора расширения (на английском написать не смогу).
Домашняя страничка расширения, судя по записи в файле install.rdf, http://www.krickelkrackel.de/tooltipenh … nhhelp.htm. Скачивал я его отсюда: http://www.extensionsmirror.nl/extfiref … _0.4.1.xpi.
Реальную вещь сделал Anton:)
Только в расширении придётся ставить "Use always..." получиться что всегда будут отображаться ссылки, что не очень удобно, или придёться включать F11 когда делаешь какие-либо важные дела в инете. А можешь ли сделать так чтобы показывалось !!! только когда кириллица?
Напиши по русски что ему написать, я напишу автору.
А можешь ли сделать так чтобы показывалось !!! только когда кириллица?
lcraFTl, я не понял вопрос.
В "общем случае" - не смогу поправить. Я не умею писать на XUL, только JS, и то слабо.
Если надо, и если более подробно описать проблему, могу попробовать, но не более того.
Напиши по русски что ему написать, я напишу автору.
"Так и так, ваше расширение было изменено и выложено на всеобщее обозрение на http://forum.mozilla.ru". Ну и описание, что оно "научилось" делать.
Это его собственность, пусть имеет ввиду, может сделает лучше.
Как Mozilla.org собирается решить проблему с IDN
Вкратце:
Краткосрочное решение:
1) В Firefox 1.0.1 и Mozilla 1.8 beta IDN будет отключен.
2) На сайте Mozilla будет доступно расширение, позволяюшее его включить
Долгосрочное решение:
1) В Firefox 1.1 вероятно будет введен белый список сайтов, для которых будет включен IDN.
Метод древний и не новый
на http://www.extensionsmirror.nl/ появилось расширение которое при посещении таких сайтов изменяет цвет адресной строки на розовый
arvin, а как оно называется ? А то ссылка не работает, а расширения там по алфавиту, 37 страниц.
Я нашел два - IDND_1.0 и SpoofStick_1.05, но, судя по ?showtopic это не ваша ссылка.
странно, расширение продержалось там недолго, видимо его удалили, называлось оно IDN Show 0.1.1 оно есть здесь
IDND_1.0 это расширение выполняет тоже действие как я понял
Сделал свое собственное расширение
Исправил парсер URL - теперь не должно быть ложных срабатываний.
Можно настроить отображение alt/title тегов и URL отдельно для обычного и полноэкранного режимов.
Проверял ТОЛЬКО на FF 1.0 с русской локалью.
Пользуйтесь.