# Форум на русском языке  > Основы информационной безопасности  > Общая сетевая безопасность  >  Chrome, Firefox и Opera уязвимы к атакам подмены домена

## olejah

Злоумышленники могут создавать  фишинговые домены, выглядящие легитимно, используя уязвимость в популярных веб-браузерах, которые не могут должным образом защитить своих пользователей от атак.

Веб-разработчик Худонг Джэн (Xudong Zheng) продемонстрировал, как злоумышленник может зарегистрировать доменное имя «xn--80ak6aa92e.com», которое отображается веб-браузерами Chrome, Opera и Firefox, как «apple.com».

Unicode - стандарт кодирования символов, позволяющий представить знаки почти всех письменных языков. Символы Unicode могут использоваться в именах доменов через Punycode. Например, китайское слово «短» эквивалентно «xn - s7y».

Кириллическая «а» и латинская «а» могут выглядеть одинаково, но они представлены по-разному в Punycode, позволяя злоумышленникам создавать домены, где латинские буквы заменяются похожими греческими или кириллическими символами. Эта атака известна под именем IDN homograph attack.

Современные веб-браузеры должны предотвращать такие типы атак - например, «xn--pple-43d.com» будет отображаться как «xn--pple-43d.com» вместо «apple.com». Однако эксперт, что этот фильтр можно обойти в Chrome, Firefox и Opera, создав полное имя домена с использованием кириллических символов, в результате этого «xn--80ak6aa92e.com» будет отображаться как «apple.com».

Чтобы доказать свою гипотезу, исследователь зарегистрировал домен «xn--80ak6aa92e.com» и получил для него бесплатный цифровой сертификат от Let's Encrypt. Когда к домену обращаются через Opera, Chrome или Firefox, пользователь видит доменное имя «apple.com» с сертификатом, выданным для «apple.com».

Джэн сообщил о своей находке Google и Mozilla 20 января. В Chrome 58 эта проблема будет решена, а вот Mozilla все еще пытается выяснить, как исправить ее.

----------

hou,  Val_Ery

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## hou

Я правильно понял , network.IDN_show_punycode -меняем на true ? по умолчанию выставлено false / Firefox/52.0

----------


## Val_Ery

> Я правильно понял , network.IDN_show_punycode -меняем на true ? по умолчанию выставлено false / Firefox/52.0


Если Вы поставите true, то как результат браузер будет показывать Вам в адресной строке те "дикие" буквосочетания. И что Вам это даст?
ИМХО, тута вопрос в другом:
а) "перевод" кодированных доменов возложен на браузер; вводя, к примеру, кириллическое название мойсайт.рф, Вы заставляете браузер преобразовать сие в xn--80arbjktj.xn--p1ai и уже это отправить ближайшему днс;
б) как писал китайский исследователь, возможно осуществить подмену, к примеру, кириллического символа на китайский, а результат представить как некий пьюни
(пример с Эйпплом здесь очень показателен, потому что, если Вы скормите эту комбинашку xn--80ak6aa92e.com браузеру, Вы в адресной строке увидите совсем не apple.com, а некое www.аррӏе.com --- чтобы осознать разницу, Вам надо скопировать оба Эйппла в блокнот и посмотреть на разницу в написании буквы "л", в первом случае это совсем не "л", это что-то выглядещее как латинское "л", не больше)
Так вот, сам вопрос: должен ли браузер при декодировании уметь отличать кириллические символы от китайских или арабских? Или это претензия должна адресовываться к регистраторам, позволяющим регистрировать адреса, состоящие из смеси из различных языков/символов и т.п.?
Кстати, если говорить о регистраторах...
Я, ради прикола, скормил это xn--80ak6aa92e.com пюьни конвертерам на r01 и reg.ru (это наши регистраторы). Дык вот, р01 нормально перевел это в 

```
www.аррӏе.com
```

 (здеся совсем не "л", а что-то другое), а вот наш великий рег.ру на полном серьёзе уверен, что это Эйппл  :Smiley:  Вот так вот... А Вы, браузер/браузер...

----------


## olejah

> А Вы, браузер/браузер...


Тем не менее в Chrome устранена эта проблема.

----------


## hou

Тем не менее в Chrome устранена эта проблема. ---лично я стараюсь пользоваться Free software, и  буду пользоваться Web GNOME но на хром не перейду.

Послушайте если правельный машинный перевод то там рекомендация true значение или нет?

(здеся совсем не "л", а что-то другое), а вот наш великий рег.ру на полном серьёзе уверен, что это Эйппл  :Smiley:    --полностью с Вами согласен, L похожа на I

----------


## Val_Ery

> Тем не менее в Chrome устранена эта проблема.


Да, я читал... 
И там пока всё далеко от завершения (оригинал):



> This fix is an attempt to balance the needs of our international userbase while protecting against confusable homograph attacks.. The fix uses punycode for domain names that are made entirely of Latin lookalike Cyrillic letters when the top-level domain is not an internationalized domain name, meaning that the check only applies to top-level domains like "com", "net", and "uk". We’re working on additional fixes, for example, for confusables within one script set -- “l” (lowercase L) could be confused with “I” (small dotless i character). We will keep this article updated with our current IDN policy below.


То есть, внесенные изменения работают пока только для доменов ком, нет и юк.

С Огнелисом дела обстоят интересней (и на моё ИМХО, их подход правильный: браузер не должен отслеживать неправильную работу отдельных регистраторов; оригинал тут)



> Our response to this issue is that in the end, it is up to registries to make sure that their customers cannot rip each other off. Browsers can put some technical restrictions in place, but we are not in a position to do this job for them while still maintaining a level playing field for non-Latin scripts on the web. The registries are the only people in a position to implement the proper checking here. For our part, we want to make sure we don't treat non-Latin scripts as second-class citizens.


Об этом же говорят "хромовцы":



> In a perfect world, domain registrars would not allow these confusable domain names to be registered. Some TLD registrars do exactly that, mostly by restricting the characters allowed, but many do not.


В хроме, кстати, бага проявилась с того, что браузер начал блокировать доступ к некоторым ресурсам, у которых "подменялись" одинаково выглядящие буквы из разных алфавитов. На январь, как сообщалось на их багтрекере, хром блокировал порядка 800 из 860 тысяч доменов в зоне рф. 13 патчей сделали своё дело: блокировка прекратилась. 

Но тут появился китайский исследователь  :Smiley:  

Который в слове эйппл заменил "л" на CYRILLIC SMALL LETTER PALOCHKA. Он молодец в том плане, что показал возможность использования не просто похожих буков, а вообще нечитабельных символов, сумев зарегить подобный домен. Чего вообще быть не должно!

Ну, то есть я опять вернулся к тому, что браузеры тут не причем... 
Хотя... Сафари вон не парится с кириллицей, кажет голый пьюникод. И если уж Хром желает отображать домены пользователям на их языке - вот он и ищет решения не своих проблем.

- - - - -Добавлено - - - - -




> Послушайте если правельный машинный перевод то там рекомендация true значение или нет?


true - показывает сырое пьюни имя xn--80arbjktj.xn--p1ai,
false - отображает декодированный домен мойсайт.рф (значение *по умолчанию*)

----------


## olejah

Да, все верно. Просто хотел отметить, что разработчики браузеров работают над этим. Не знаю, оправдано это или нет в этом случае, однако сочли нужным, видимо.

----------

Val_Ery

----------

