アカウント名:
パスワード:
朝日と、朝曰のように、字体がよく似た文字を使われてしますと、punycode にしても、正しい punycode を知らないと正しいかどうかを判断することができないのが難点ですね。
# 日本語ドメイン使うなということが解決法になるのかな
突き詰めると「Punycode」なんてドメイン名で実装したやつがクソなんだよなぁこんなことになるのは有識者が少し考えりゃわかるのに、商売を優先した結果がこれじゃん
こんなクソ仕様をサポートするブラウザごと投げ捨てるべきまだ使いどころがあるだけActiveXのほうがマシなぐらいだ
Punycode (RFC 3492) はそもそもドメイン名で使用することを想定して設計さられたものなので、実装ではなくRFCがクソなのでは?Punycode is a simple and efficient transfer encoding syntax designed foruse with Internationalized Domain Names in Applications (IDNA).それともRFCやW3Cなどの定義に準拠しないブラウザが良いってこと?
このRFCがクソなのには同意。当時から危険性が指摘されていたにも関わらず、ゴリ押しされた経緯についても糞だとは思う。
なお、Chromeは対策済み。Firefoxもabout:configで対応可能で手元の環境ではIE, Firefox, Chrome共にhttps://www.xn--80ak6aa92e.com/などの表記が確認できた。# Edgeのみなぜかhttpsが省略して表示される。
Safariは2005年にはこの問題を解決(言い換えればRFC無視?)してたそうで、やはりクソなもの(ユーザーに害をもたらすもの)は無視した方がいいと思うな。
なお、Safariは常にスキーム名(http,https)は省略される。正当な証明書付きのhttpsでのみ鍵マーク(EVの場合、緑+名称)がつき、そのほかは常に何も表示しない。オレオレ証明書httpsでも鍵なしでhttp同等扱い。
Microsoftはこの仕様投げ捨ててないよ。それどころか、Edgeでもこの仕様を使っている
ただし、システム言語との突き合わせを行っていてシステム言語と合わない場合は、もとのxn--xxxxの形式で表示している。# たしか・・・
日本語のOSでは下記のような取り違えを起こさせることは可能なので同じ脆弱性が残っていると言えると思う。
(実在) http:/// [http]日本語.jp http://xn--wgv71a119e/ [xn--wgv71a119e](無い) http:/// [http]曰本語.jp http://xn--jov2ew20i/ [xn--jov2ew20i]
(実在) http:/// [http]モジラ.jp/ http://xn--yck6dwa.jp/ [xn--yck6dwa.jp](無い) http:/// [http]モヅラ.jp/ http://xn--cdkxcwa.jp/ [xn--cdkxcwa.jp]
ちなみにchromeが対策と言っているのも実験したところ、同じ手法での対策に見えるので、日本語のOSでは日本語ドメインについて「IDNホモグラフ攻撃」が可能と言えると思う。
個人的には紛らわしいので、RFC 3492自体廃止するかMSもGoogleもMozillaも完全に無効化する対策をとってほしい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
こんな問題にはどうしよう (スコア:1)
朝日と、朝曰のように、字体がよく似た文字を使われてしますと、
punycode にしても、正しい punycode を知らないと正しいかどうかを
判断することができないのが難点ですね。
# 日本語ドメイン使うなということが解決法になるのかな
Re: (スコア:0)
突き詰めると「Punycode」なんてドメイン名で実装したやつがクソなんだよなぁ
こんなことになるのは有識者が少し考えりゃわかるのに、商売を優先した結果がこれじゃん
こんなクソ仕様をサポートするブラウザごと投げ捨てるべき
まだ使いどころがあるだけActiveXのほうがマシなぐらいだ
Re: (スコア:1)
Punycode (RFC 3492) はそもそもドメイン名で使用することを想定して
設計さられたものなので、実装ではなくRFCがクソなのでは?
Punycode is a simple and efficient transfer encoding syntax designed for
use with Internationalized Domain Names in Applications (IDNA).
それともRFCやW3Cなどの定義に準拠しないブラウザが良いってこと?
このRFCがクソなのには同意。当時から危険性が指摘されていたにも関わらず、
ゴリ押しされた経緯についても糞だとは思う。
なお、Chromeは対策済み。Firefoxもabout:configで対応可能で手元の環境では
IE, Firefox, Chrome共にhttps://www.xn--80ak6aa92e.com/などの表記が確認できた。
# Edgeのみなぜかhttpsが省略して表示される。
Re: (スコア:0)
Safariは2005年にはこの問題を解決(言い換えればRFC無視?)してたそうで、
やはりクソなもの(ユーザーに害をもたらすもの)は無視した方がいいと思うな。
なお、Safariは常にスキーム名(http,https)は省略される。
正当な証明書付きのhttpsでのみ鍵マーク(EVの場合、緑+名称)がつき、そのほかは常に何も表示しない。
オレオレ証明書httpsでも鍵なしでhttp同等扱い。
Re:こんな問題にはどうしよう (スコア:1)
相当なくそRFCである事は間違いない。
W3CとしてはURL入力はデコード状態で受け付けて、アドレスバーやステータスバーにはエンコード済みの値で表示しろって事だったのか、あるいは、アドレスバーとは別にエンコード済みの値が出る想定でもあったのかな…
どちらであれそうしろって書いていない時点で相当間抜けではあるが。
># Edgeのみなぜかhttpsが省略して表示される。
EdgeはそもそもHTTPとHTTPSしか対応していないのですよ。
故に鍵マークの有無だけで判別できるからアドレス入力モードにしないとスキームが表示されない。
Re:こんな問題にはどうしよう (スコア:1)
Microsoftはこの仕様投げ捨ててないよ。
それどころか、Edgeでもこの仕様を使っている
ただし、システム言語との突き合わせを行っていて
システム言語と合わない場合は、もとのxn--xxxxの形式で表示している。
# たしか・・・
日本語のOSでは下記のような取り違えを起こさせることは可能なので
同じ脆弱性が残っていると言えると思う。
(実在) http:/// [http]日本語.jp http://xn--wgv71a119e/ [xn--wgv71a119e]
(無い) http:/// [http]曰本語.jp http://xn--jov2ew20i/ [xn--jov2ew20i]
(実在) http:/// [http]モジラ.jp/ http://xn--yck6dwa.jp/ [xn--yck6dwa.jp]
(無い) http:/// [http]モヅラ.jp/ http://xn--cdkxcwa.jp/ [xn--cdkxcwa.jp]
ちなみにchromeが対策と言っているのも
実験したところ、同じ手法での対策に見えるので、
日本語のOSでは日本語ドメインについて「IDNホモグラフ攻撃」が可能と言えると思う。
個人的には紛らわしいので、RFC 3492自体廃止するか
MSもGoogleもMozillaも完全に無効化する対策をとってほしい。