国際化ドメイン名対応Webブラウザにアドレス詐称の懸念 66
ストーリー by yourCat
「全角」なら問題なし? 部門より
「全角」なら問題なし? 部門より
mew曰く、"国際化ドメイン名 (International Domain Name) 対応の実装上の問題により、複数のWebブラウザで「アドレス詐称」が可能になるセキュリティ上の懸念を、Secuniaが公表した。
今回の問題の肝は、アルファベットの 'a' の代わりにキリル文字の 'а' を使うなど、信頼されているサイトのURLに使われている文字に字形の似た別の文字を使うことで、アドレスバーなどのURL表示を信頼されているサイトのURLのように見せかけることができるという点。
現在のところ、Konqueror 3.x、Mozilla / Firefox / Camino、Safari 1.x、Netscape 7.x、OmniWeb 5.xについて報告されている。Secuniaによる重要度は5段階中の3番目。いずれもパッチはまだ無い。対策は「信用できないソースからのリンクは辿らないこと」または「URLを手入力すること」。
なお Internet Explorer については、今回の問題は報告されていない。国際化ドメイン名への対応度合いの差によるものと思われる。"
こんな詐称されたりして。 (スコア:2, おもしろおかしい)
Re:こんな詐称されたりして。 (スコア:1)
エクスカリパー
を、思い出すなぁ。
しかし、リアルワールドでは冗談にしかならないような
手口が通用するとは、コンピュータ上では
文字(コード)がすべてなのだと改めて思うのだった。
Re:こんな詐称されたりして。 (スコア:0)
Re:こんな詐称されたりして。 (スコア:1)
なら本当にあります。
1を聞いて0を知れ!
Re:こんな詐称されたりして。 (スコア:1)
いや、この話題の場合はアドレス詐称の脆弱性がなく、非常に優秀と言うべきなのか。
1を聞いて0を知れ!
Re:こんな詐称されたりして。 (スコア:0)
・スラッシュドッ卜
・スラシシュドシト
・ヌラッシュドット
・スヲッシュドット
一番上とかは気づかないな。
Re:こんな詐称されたりして。 (スコア:1, おもしろおかしい)
#歳ばれそうなのでAC
Re:こんな詐称されたりして。 (スコア:0)
それが国際化ドメインの「仕様」じゃないの? (スコア:2, 参考になる)
Mozilla(Netscape)では2年近く前にはこの問題を認識 [www.jdna.jp]して議論されていたし、
高木浩光さんも1年半前に指摘 [hatena.ne.jp]されています。
そもそも (スコア:2, すばらしい洞察)
たとえば「スラッシュドット株式会社」という企業があったとして,既にslashdot.jpとslashdot.co.jpを所有していて,二つでじゅうぶんなので,これ以上増やしたくないと考えるかもしれない。余ってしまった“スラッシュドット.jp”を悪意ある第三者が取得して,正しい文字を使ったドメイン名で詐称されることを防ぐことは可能だろうか。
# 国際化ドメイン名なんてタダでも欲しくないのでAC
そして人間がセキュリティホールに (スコア:1)
で、http://www.yahooo.co.jp/ [yahooo.co.jp]やhttp://www.goo.co.jp/ [goo.co.jp]に接続しちゃったりするわけですね。
#goo.co.jpって結局放置されてるのね。勿体無い。
Re:そして人間がセキュリティホールに (スコア:1)
goo.co.jpはwhoisできるけど。
Re:そして人間がセキュリティホールに (スコア:1)
googla.comなんてのもあった。
Re:そして人間がセキュリティホールに (スコア:1)
日本語でも (スコア:1)
あんの上 (スコア:1)
ある程度はレジストリ側でなんとかするらしいですが
決定打にはならないんですね。当然ですが。
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
今に始まった話じゃないと思うが (スコア:0)
0とOとか。
asciiだけでも、他にもいろいろありますよね?
Re:今に始まった話じゃないと思うが (スコア:2, すばらしい洞察)
アルファベット文化圏の人にとっては、マルチバイトに対応し
てしまうと注意すべき文字が飛躍的に増えるという問題がある
ってことじゃなかろうかと。
Re:今に始まった話じゃないと思うが (スコア:2, 参考になる)
ハイフンとマイナス記号、右端でも折り返されないハイフン、 数値の範囲 [euc.jp]などを見分ける自信はありません。
1を聞いて0を知れ!
パッチって…… (スコア:0)
それよりも素直に国際化ドメインをつぶ
わ、なんだあんたたちっ! ふがっふごっ
……ネタなので AC.
Re:パッチって…… (スコア:4, 参考になる)
(about:config はちょっと面倒な手順が必要 [slashdot.org]ですが。)
ですから、
- IDN と生 DN を同時に表示 [slashdot.org]
- デフォルトでは IDN をオフにする
といった解決策があると思います。ブラウザに限らず、Mutt (MUA では珍しく対応してる) の IDN 機能も同様の対策が必要だと思って怖くなりました。
Re:パッチって…… (スコア:3, 参考になる)
Re:パッチって…… (スコア:1)
Bug 261934 - regression: network.standard-url.encode.utf8 pref is ignored [mozilla.org]
のパッチで直ったんでしょうか。
なんかよくわかりませんね。
Re:パッチって…… (スコア:2, おもしろおかしい)
「えいちてぃーてぃーぴーころんすらっしゅすらっしゅスラッシュドットどっとじぇーぴー」
――聞いてもわからん。
Re:パッチって…… (スコア:2, おもしろおかしい)
ってことか。
Re:パッチって…… (スコア:1)
#長い。
---にょろ~ん
Re:パッチって…… (スコア:2, 興味深い)
2. AはAlpha、BはBravo……とする。
Re:パッチって…… (スコア:1)
アドレスバーをものすごくでっかくして
URLを見やすくするとか・・・
#画面半分がアドレスバーなら間違うまい
____
#風邪をひきました、脳が故障しています
#残念ながら仕様です。
Re:パッチって…… (スコア:2, 興味深い)
Re:パッチって…… (スコア:0)
Re:パッチって…… (スコア:0)
Re:パッチって…… (スコア:0)
webでの情報発信やサービス提供は、いつまでもタダみたいなコストでOKって訳でもないだろうに。notオレオレ証明書なhttpsがデフォな世界と言うのもいいかもしれない。
Re:パッチって…… (スコア:1)
アクセス禁止にするってパッチでは駄目ですかね?
乱暴かもしれないけれど、そんなドメインを使うってのは
なんか怪しいしそれで良いように思えます。
そもそも、んなもの受け付けた方がどうかしていると思う。
if the kid?
Re:パッチって…… (スコア:1)
『IBM』と2バイト文字しか使用を認めない?
でも『lBM』(小文字のL+BM)で偽装は出来るわけですね。
Re:パッチって…… (スコア:0)
基本的にUNICODE ベースですよね?たしか
Re:パッチって…… (スコア:0)
Re:パッチって…… (スコア:1, 興味深い)
$ firefox http://$(echo "お名前.com" |idnconv ) とか。
ちなみにidnconvはidnkit [nic.ad.jp]の中にあります。
# それじゃ防げないんでしょうか?
Re:パッチって…… (スコア:0)
URLと見なさない、なんていうパッチなら簡単でない?
#その仕様で必要十分なとこしか行かないAC
Re:パッチって…… (スコア:1)
これをステータスバーにでも表示しておくとか。
# FirefoxだとPage Infoのところもwww.paypаl.comとしか出ない(Verdanaだとaの区別が付かない)…
# さすがにLiveHTTPHeadersにはxn--が出ますけど。
"Stupid risks are what make life worth living!" -- Homer Simpson
Re:パッチって…… (スコア:1)
色を変えてみるとか、白黒反転するっていうのはどうでしょうか。
Re:パッチって…… (スコア:0)
Re:パッチって…… (スコア:0)
# 似たような台無し論をどこかで書いた気がするのでAC
Re:パッチって…… (スコア:0)
Re:パッチって…… (スコア:1)
手に入る幸福と、それに伴って犠牲にする物、どちらが有用かは
人によっても判断の分かれるところでしょう。
「不幸にするために産まれたプロトコル」というのは、いささか誇張かと。
すくなくとも必要とするある程度の人たちが居て開発され、さらに
手に入るもののほうが犠牲を上回る、と判断されて制定された規格なんですし(多分)
国際化ドメインは得られる幸福が個人的には疑問ですが・・・(^^;
Re:パッチって…… (スコア:1, すばらしい洞察)
嘘はいけないな。
Re:死 (スコア:0)
類似字型の文字は正規化されてないの? (スコア:0)
字型が明らかに似ていない日本語と中国語の文字 (例: '直') はUnicodeの制定段階で同一視されるのに、アルファベットの 'a' の代わりにキリル文字の 'а' は別物なの?
というか、こんなことIDNの実施前に容易に気づくことだと思うんだが…。
てっきり、NAMEPREPで正規化されてるんだと思ってた。
# NAMEPREPとは何か把握できていなかったのでAC
Re:類似字型の文字は正規化されてないの? (スコア:2, 参考になる)
そりゃ、字形が基準じゃないからです。
ひらがなの「へ」とカタカナの「ヘ」が違うのと同じです。
# For man might be free./人は自由になれるかもしれないから。
Re:類似字型の文字は正規化されてないの? (スコア:1)
それはフォントの差だけだと思いますが。
Re:類似字型の文字は正規化されてないの? (スコア:1, 参考になる)
>正規化すれば、'a'も'а'も同一の文字になるよということです。
そんな馬鹿な。
BASIC LATINのaとFULLWIDTH AND HALFWIDTH FORMSのaは同一になるが、
BASIC LATINのaとCYRILLICのаは同一にはならない。