Re:こんな問題にはどうしよう (#3197714) | ChromeとFirefoxのホモグラフ攻撃対策を迂回する方法

「ChromeとFirefoxのホモグラフ攻撃対策を迂回する方法」記事へのコメント

記事ページを表示すべてのコメント取得

検索28コメント Log In/Create an Account

こんな問題にはどうしよう (スコア:1)

by Anonymous Coward

朝日と、朝曰のように、字体がよく似た文字を使われてしますと、
punycode にしても、正しい punycode を知らないと正しいかどうかを
判断することができないのが難点ですね。
# 日本語ドメイン使うなということが解決法になるのかな
- Re: (スコア:0)
  
  by Anonymous Coward
  
  突き詰めると「Punycode」なんてドメイン名で実装したやつがクソなんだよなぁ
  こんなことになるのは有識者が少し考えりゃわかるのに、商売を優先した結果がこれじゃん
  こんなクソ仕様をサポートするブラウザごと投げ捨てるべき
  まだ使いどころがあるだけActiveXのほうがマシなぐらいだ
  - Re:こんな問題にはどうしよう (スコア:1)
    
    by Anonymous Coward on 2017年04月21日 14時32分 (#3197714)
    
    Punycode (RFC 3492) はそもそもドメイン名で使用することを想定して
    設計さられたものなので、実装ではなくRFCがクソなのでは？
    Punycode is a simple and efficient transfer encoding syntax designed for
    use with Internationalized Domain Names in Applications (IDNA).
    それともRFCやW3Cなどの定義に準拠しないブラウザが良いってこと？
    このRFCがクソなのには同意。当時から危険性が指摘されていたにも関わらず、
    ゴリ押しされた経緯についても糞だとは思う。
    なお、Chromeは対策済み。Firefoxもabout:configで対応可能で手元の環境では
    IE, Firefox, Chrome共にhttps://www.xn--80ak6aa92e.com/などの表記が確認できた。
    # Edgeのみなぜかhttpsが省略して表示される。
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      Safariは2005年にはこの問題を解決(言い換えればRFC無視？)してたそうで、
      やはりクソなもの(ユーザーに害をもたらすもの)は無視した方がいいと思うな。
      なお、Safariは常にスキーム名(http,https)は省略される。
      正当な証明書付きのhttpsでのみ鍵マーク(EVの場合、緑＋名称)がつき、そのほかは常に何も表示しない。
      オレオレ証明書httpsでも鍵なしでhttp同等扱い。
      - Re:こんな問題にはどうしよう (スコア:1)
        
        by Theia (47993) on 2017年04月23日 4時08分 (#3198681)
        
        一度実装したら曲解に曲解を重ねて延命をしていた当時のMicrosoftでさえ、一度実装した後からこんなくそなRFCなんて窓から投げ捨ててしまえ！ってな事をやっているからね。
        相当なくそRFCである事は間違いない。
        
        W3CとしてはURL入力はデコード状態で受け付けて、アドレスバーやステータスバーにはエンコード済みの値で表示しろって事だったのか、あるいは、アドレスバーとは別にエンコード済みの値が出る想定でもあったのかな…
        どちらであれそうしろって書いていない時点で相当間抜けではあるが。
        
        ＞# Edgeのみなぜかhttpsが省略して表示される。
        EdgeはそもそもHTTPとHTTPSしか対応していないのですよ。
        故に鍵マークの有無だけで判別できるからアドレス入力モードにしないとスキームが表示されない。
        
        シェア
        
        親コメント
        
        Re:こんな問題にはどうしよう (スコア:1)
        
        by Anonymous Coward on 2017年04月24日 15時12分 (#3199307)
        
        Microsoftはこの仕様投げ捨ててないよ。
        それどころか、Edgeでもこの仕様を使っている
        ただし、システム言語との突き合わせを行っていて
        システム言語と合わない場合は、もとのxn--xxxxの形式で表示している。
        # たしか・・・
        日本語のOSでは下記のような取り違えを起こさせることは可能なので
        同じ脆弱性が残っていると言えると思う。
        (実在) http:/// [http]日本語.jp http://xn--wgv71a119e/ [xn--wgv71a119e]
        (無い) http:/// [http]曰本語.jp http://xn--jov2ew20i/ [xn--jov2ew20i]
        (実在) http:/// [http]モジラ.jp/ http://xn--yck6dwa.jp/ [xn--yck6dwa.jp]
        (無い) http:/// [http]モヅラ.jp/ http://xn--cdkxcwa.jp/ [xn--cdkxcwa.jp]
        ちなみにchromeが対策と言っているのも
        実験したところ、同じ手法での対策に見えるので、
        日本語のOSでは日本語ドメインについて「IDNホモグラフ攻撃」が可能と言えると思う。
        個人的には紛らわしいので、RFC 3492自体廃止するか
        MSもGoogleもMozillaも完全に無効化する対策をとってほしい。
        
        シェア
        
        親コメント
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        >オレオレ証明書httpsでも鍵なしでhttp同等扱い
        あー。これいい。
        いちいち許可するかどうか聞いてくるのうざい。
        http同等で処理したら何か問題あるんだろうか。
        
        Re:こんな問題にはどうしよう (スコア:1)
        
        by Anonymous Coward on 2017年04月21日 20時14分 (#3198023)
        
        何故問題ないと思ったのかそれを知りたい。
        「警告が出る」代わりに「毎回自分で注意深く確認する」ことを要求されてるんだけど。
        
        シェア
        
        親コメント
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        白紙より捨て印だけ押した紙の方が危険とかそういう考えなのかも

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

ChromeとFirefoxのホモグラフ攻撃対策を迂回する方法 More ログイン

「ChromeとFirefoxのホモグラフ攻撃対策を迂回する方法」記事へのコメント

こんな問題にはどうしよう (スコア:1)

Re: (スコア:0)

Re:こんな問題にはどうしよう (スコア:1)

Re: (スコア:0)

Re:こんな問題にはどうしよう (スコア:1)

Re:こんな問題にはどうしよう (スコア:1)

Re: (スコア:0)

Re:こんな問題にはどうしよう (スコア:1)

Re: (スコア:0)

スラド