Тестовая страница на которой показана возможность подмены адреса - http://www.shmoo.com/idn/
Нажмите на ней любую из ссылок
Click here to enter paypal
Click here to enter paypal via ssl
Удивитесь новому интерфейсу сайта http://www.pаypal.com/ :-)
Уязвимость существует в Firefox 1.0, Camino .8.5, Mozilla 1.6, Safari 1.2.5, Opera 7.54, Omniweb 5.
Не существует в IE.
В браузерах семейства Mozilla уязвимость можно обойти, установив переменную network.enableIDN в false (хотя вы тогда лишитесь поддержки IDN)
Do not meddle in the affairs of Wizards, for they are subtle and quick to anger.
Отсутствует
подскажите неучу, а что такое IDN ?
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1 - Build ID: 2006120418
Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.8.1.2pre) Gecko/20070116 Thunderbird/2.0b2 - Build ID: 2007011615
Отсутствует
подскажите неучу, а что такое IDN
Интернационализированные доменные имена, то бишь доменные имена с не-латинскими буквами (типа www.москва.ru )
http://en.wikipedia.org/wiki/Internationalized_domain_names
Если внимательно посмотреть на открывшуюся ссылку, то можно заметить что в слове paypal буквы a имеют неодинаковую высоту.
Грубо говоря уязвимость такова - вы регистрируете сайт www.paypаl.com. При этом одна "a" в имени сайта латинская, вторая "a" - русская.
С точки зрения браузера это совершенно разные сайты. С точки зрения юзера - URL в строке адреса будет выглядеть абсолютно одинаково и если он не будет разглядывать URL под микроскопом или не смотреть HTTP-заголовки, он легко поведется.
Неуязвимость IE к атаке обьясняется тем что он не понимает IDN без специального плагина. С плагином IE тоже уязвим.
Так развести так можно же, а заплатка есть для Mozilla ?
Workaround я привел выше. Заплатки пока нет.
Дискуссия на Slashdot, если кому интересно - http://it.slashdot.org/article.pl?sid=05/02/07/1323206&tid=172&tid=113&tid=154&tid=95&tid=1
Do not meddle in the affairs of Wizards, for they are subtle and quick to anger.
Отсутствует
Уязвимость существует в Firefox 1.0, Camino .8.5, Mozilla 1.6, Safari 1.2.5, Opera 7.54, Omniweb 5.
Не существует в IE.
Ну уязвимость это слишком громко сказано, с поддержкой Internationalized Domain Names никуда от похожести адресов не денешься.
А что касается ИЕ так (по крайней мере 5 и 5.5 версии) просто не поддерживает эту фишку
а любимый wget говорит "Resolving www.p%e0ypal.com ... failed: Host not found." )
Так развести так можно же, а заплатка есть для Mozilla ?
А, простите, от чего заплатка-то ? это же все-таки не уязвимость в полном смысле
P.S. на счет похожести... обратите внимание на написание адреса в "Resolving..." и в статус-баре
тег URL не использовался )
Люби себя, чихай на всех – и в жизни ждет тебя успех!
© Чертёнок №13
Отсутствует
Ну уязвимость это слишком громко сказано, с поддержкой Internationalized Domain Names никуда от похожести адресов не денешься.
Это конечно не уязвимость в чистом виде, но это будет серьезной проблемой для многих пользователей.
Я уверен для пользователей Mozilla что-нибудь придумают.
А тем кто юзает Operу повезло меньше:
http://www.shmoo.com/idn/homograph.txt
VI. Vendor Responses
Verisign: No response yet.
Apple: No response yet.
Opera: They believe they have correctly implemented IDN, and will not be
making any changes.
Mozilla: Working on finding a good long-term solution; provided clear
workaround for disabling IDN.
Do not meddle in the affairs of Wizards, for they are subtle and quick to anger.
Отсутствует
P.S. на счет похожести... обратите внимание на написание адреса в "Resolving..." и в статус-баре
тег URL не использовался )
Я тоже это заметил, но только потому что внимательно смотрел.
Не все смотрят на строку статуса, к тому же она у меня открывается слишком быстро - довольно трудно заметить.
Do not meddle in the affairs of Wizards, for they are subtle and quick to anger.
Отсутствует
Вышло предупреждение от Secunia - http://secunia.com/multiple_browsers_idn_spoofing_test/
The problem is caused due to an unintended result of the IDN (International Domain Name) implementation, which allows using international characters in domain names.
This can be exploited by registering domain names with certain international characters that resembles other commonly used characters, thereby causing the user to believe they are on a trusted site.
Уязвимы:
Mozilla 1.7.x
Mozilla Firefox 0.x
Mozilla Firefox 1.x
Opera 7.x
OmniWeb 5.x
Konqueror 3.x
Netscape 7.x
Safari 1.x
Solution:
Don't follow links from untrusted sources.Manually type the URL in the address bar.
Do not meddle in the affairs of Wizards, for they are subtle and quick to anger.
Отсутствует
Правкой файла userContent.css можно изменить курсор для Java - ссылок. Может, можно что-нибудь подобное и для обсуждаемых здесь ссылок ?
Время настанет, время придет...
И лис кОнкурiентов на части порвет !!!
Отсутствует
Появилась идея, как предупредить пользователя FF о подобных нехороших ссылках.
Почитал учебник по JavaScript и интереса ради дополнил расширение TooltipEnhancer 0.4.1.
Теперь оно у меня на ссылках, которые содержат нелатинские символы, показывает подсказку такого вида: "!!!!! -> http://...", то есть, как бы предупреждение. К alt/title тегам (которые TooltipEnhancer тоже отображает) это не относится, только к ссылкам.
Просьба поставить в известность автора расширения (на английском написать не смогу).
Домашняя страничка расширения, судя по записи в файле install.rdf, http://www.krickelkrackel.de/tooltipenh … nhhelp.htm. Скачивал я его отсюда: http://www.extensionsmirror.nl/extfiref … _0.4.1.xpi.
Время настанет, время придет...
И лис кОнкурiентов на части порвет !!!
Отсутствует
Появилась идея, как предупредить пользователя FF о подобных нехороших ссылках.
Почитал учебник по JavaScript и интереса ради дополнил расширение TooltipEnhancer 0.4.1.
Теперь оно у меня на ссылках, которые содержат нелатинские символы, показывает подсказку такого вида: "!!!!! -> http://...", то есть, как бы предупреждение. К alt/title тегам (которые TooltipEnhancer тоже отображает) это не относится, только к ссылкам.Просьба поставить в известность автора расширения (на английском написать не смогу).
Домашняя страничка расширения, судя по записи в файле install.rdf, http://www.krickelkrackel.de/tooltipenh … nhhelp.htm. Скачивал я его отсюда: http://www.extensionsmirror.nl/extfiref … _0.4.1.xpi.
Реальную вещь сделал Anton:)
Только в расширении придётся ставить "Use always..." получиться что всегда будут отображаться ссылки, что не очень удобно, или придёться включать F11 когда делаешь какие-либо важные дела в инете. А можешь ли сделать так чтобы показывалось !!! только когда кириллица?
Напиши по русски что ему написать, я напишу автору.
Отсутствует
А можешь ли сделать так чтобы показывалось !!! только когда кириллица?
lcraFTl, я не понял вопрос.
В "общем случае" - не смогу поправить. Я не умею писать на XUL, только JS, и то слабо.
Если надо, и если более подробно описать проблему, могу попробовать, но не более того.
Напиши по русски что ему написать, я напишу автору.
"Так и так, ваше расширение было изменено и выложено на всеобщее обозрение на http://forum.mozilla.ru". Ну и описание, что оно "научилось" делать.
Это его собственность, пусть имеет ввиду, может сделает лучше.
Время настанет, время придет...
И лис кОнкурiентов на части порвет !!!
Отсутствует
Как Mozilla.org собирается решить проблему с IDN
Вкратце:
Краткосрочное решение:
1) В Firefox 1.0.1 и Mozilla 1.8 beta IDN будет отключен.
2) На сайте Mozilla будет доступно расширение, позволяюшее его включить
Долгосрочное решение:
1) В Firefox 1.1 вероятно будет введен белый список сайтов, для которых будет включен IDN.
Do not meddle in the affairs of Wizards, for they are subtle and quick to anger.
Отсутствует
на http://www.extensionsmirror.nl/ появилось расширение которое при посещении таких сайтов изменяет цвет адресной строки на розовый
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1 - Build ID: 2006120418
Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.8.1.2pre) Gecko/20070116 Thunderbird/2.0b2 - Build ID: 2007011615
Отсутствует
arvin, а как оно называется ? А то ссылка не работает, а расширения там по алфавиту, 37 страниц.
Я нашел два - IDND_1.0 и SpoofStick_1.05, но, судя по ?showtopic это не ваша ссылка.
Время настанет, время придет...
И лис кОнкурiентов на части порвет !!!
Отсутствует
странно, расширение продержалось там недолго, видимо его удалили, называлось оно IDN Show 0.1.1 оно есть здесь
IDND_1.0 это расширение выполняет тоже действие как я понял
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1 - Build ID: 2006120418
Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.8.1.2pre) Gecko/20070116 Thunderbird/2.0b2 - Build ID: 2007011615
Отсутствует
Сделал свое собственное расширение
Исправил парсер URL - теперь не должно быть ложных срабатываний.
Можно настроить отображение alt/title тегов и URL отдельно для обычного и полноэкранного режимов.
Проверял ТОЛЬКО на FF 1.0 с русской локалью.
Пользуйтесь.
Время настанет, время придет...
И лис кОнкурiентов на части порвет !!!
Отсутствует