Показано с 1 по 7 из 7.

Chrome, Firefox и Opera уязвимы к атакам подмены домена

  1. #1
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296

    Chrome, Firefox и Opera уязвимы к атакам подмены домена

    Злоумышленники могут создавать фишинговые домены, выглядящие легитимно, используя уязвимость в популярных веб-браузерах, которые не могут должным образом защитить своих пользователей от атак.

    Веб-разработчик Худонг Джэн (Xudong Zheng) продемонстрировал, как злоумышленник может зарегистрировать доменное имя «xn--80ak6aa92e.com», которое отображается веб-браузерами Chrome, Opera и Firefox, как «apple.com».

    Unicode - стандарт кодирования символов, позволяющий представить знаки почти всех письменных языков. Символы Unicode могут использоваться в именах доменов через Punycode. Например, китайское слово «短» эквивалентно «xn - s7y».

    Кириллическая «а» и латинская «а» могут выглядеть одинаково, но они представлены по-разному в Punycode, позволяя злоумышленникам создавать домены, где латинские буквы заменяются похожими греческими или кириллическими символами. Эта атака известна под именем IDN homograph attack.

    Современные веб-браузеры должны предотвращать такие типы атак - например, «xn--pple-43d.com» будет отображаться как «xn--pple-43d.com» вместо «apple.com». Однако эксперт, что этот фильтр можно обойти в Chrome, Firefox и Opera, создав полное имя домена с использованием кириллических символов, в результате этого «xn--80ak6aa92e.com» будет отображаться как «apple.com».

    Чтобы доказать свою гипотезу, исследователь зарегистрировал домен «xn--80ak6aa92e.com» и получил для него бесплатный цифровой сертификат от Let's Encrypt. Когда к домену обращаются через Opera, Chrome или Firefox, пользователь видит доменное имя «apple.com» с сертификатом, выданным для «apple.com».

    Джэн сообщил о своей находке Google и Mozilla 20 января. В Chrome 58 эта проблема будет решена, а вот Mozilla все еще пытается выяснить, как исправить ее.

  2. Это понравилось:


  3. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  4. #2
    Junior Member Репутация
    Регистрация
    08.11.2016
    Сообщений
    43
    Вес репутации
    27
    Я правильно понял , network.IDN_show_punycode -меняем на true ? по умолчанию выставлено false / Firefox/52.0

  5. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.06.2010
    Сообщений
    485
    Вес репутации
    443
    Цитата Сообщение от hou Посмотреть сообщение
    Я правильно понял , network.IDN_show_punycode -меняем на true ? по умолчанию выставлено false / Firefox/52.0
    Если Вы поставите true, то как результат браузер будет показывать Вам в адресной строке те "дикие" буквосочетания. И что Вам это даст?
    ИМХО, тута вопрос в другом:
    а) "перевод" кодированных доменов возложен на браузер; вводя, к примеру, кириллическое название мойсайт.рф, Вы заставляете браузер преобразовать сие в xn--80arbjktj.xn--p1ai и уже это отправить ближайшему днс;
    б) как писал китайский исследователь, возможно осуществить подмену, к примеру, кириллического символа на китайский, а результат представить как некий пьюни
    (пример с Эйпплом здесь очень показателен, потому что, если Вы скормите эту комбинашку xn--80ak6aa92e.com браузеру, Вы в адресной строке увидите совсем не apple.com, а некое www.аррӏе.com --- чтобы осознать разницу, Вам надо скопировать оба Эйппла в блокнот и посмотреть на разницу в написании буквы "л", в первом случае это совсем не "л", это что-то выглядещее как латинское "л", не больше)
    Так вот, сам вопрос: должен ли браузер при декодировании уметь отличать кириллические символы от китайских или арабских? Или это претензия должна адресовываться к регистраторам, позволяющим регистрировать адреса, состоящие из смеси из различных языков/символов и т.п.?
    Кстати, если говорить о регистраторах...
    Я, ради прикола, скормил это xn--80ak6aa92e.com пюьни конвертерам на r01 и reg.ru (это наши регистраторы). Дык вот, р01 нормально перевел это в
    Код:
    www.аррӏе.com
    (здеся совсем не "л", а что-то другое), а вот наш великий рег.ру на полном серьёзе уверен, что это Эйппл Вот так вот... А Вы, браузер/браузер...

  6. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Цитата Сообщение от Val_Ery Посмотреть сообщение
    А Вы, браузер/браузер...
    Тем не менее в Chrome устранена эта проблема.

  7. #5
    Junior Member Репутация
    Регистрация
    08.11.2016
    Сообщений
    43
    Вес репутации
    27
    Тем не менее в Chrome устранена эта проблема. ---лично я стараюсь пользоваться Free software, и буду пользоваться Web GNOME но на хром не перейду.

    Послушайте если правельный машинный перевод то там рекомендация true значение или нет?

    (здеся совсем не "л", а что-то другое), а вот наш великий рег.ру на полном серьёзе уверен, что это Эйппл --полностью с Вами согласен, L похожа на I
    Последний раз редактировалось hou; 26.04.2017 в 10:27.

  8. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.06.2010
    Сообщений
    485
    Вес репутации
    443
    Цитата Сообщение от olejah Посмотреть сообщение
    Тем не менее в Chrome устранена эта проблема.
    Да, я читал...
    И там пока всё далеко от завершения (оригинал):
    This fix is an attempt to balance the needs of our international userbase while protecting against confusable homograph attacks.. The fix uses punycode for domain names that are made entirely of Latin lookalike Cyrillic letters when the top-level domain is not an internationalized domain name, meaning that the check only applies to top-level domains like "com", "net", and "uk". We’re working on additional fixes, for example, for confusables within one script set -- “l” (lowercase L) could be confused with “I” (small dotless i character). We will keep this article updated with our current IDN policy below.
    То есть, внесенные изменения работают пока только для доменов ком, нет и юк.

    С Огнелисом дела обстоят интересней (и на моё ИМХО, их подход правильный: браузер не должен отслеживать неправильную работу отдельных регистраторов; оригинал тут)
    Our response to this issue is that in the end, it is up to registries to make sure that their customers cannot rip each other off. Browsers can put some technical restrictions in place, but we are not in a position to do this job for them while still maintaining a level playing field for non-Latin scripts on the web. The registries are the only people in a position to implement the proper checking here. For our part, we want to make sure we don't treat non-Latin scripts as second-class citizens.
    Об этом же говорят "хромовцы":
    In a perfect world, domain registrars would not allow these confusable domain names to be registered. Some TLD registrars do exactly that, mostly by restricting the characters allowed, but many do not.
    В хроме, кстати, бага проявилась с того, что браузер начал блокировать доступ к некоторым ресурсам, у которых "подменялись" одинаково выглядящие буквы из разных алфавитов. На январь, как сообщалось на их багтрекере, хром блокировал порядка 800 из 860 тысяч доменов в зоне рф. 13 патчей сделали своё дело: блокировка прекратилась.

    Но тут появился китайский исследователь

    Который в слове эйппл заменил "л" на CYRILLIC SMALL LETTER PALOCHKA. Он молодец в том плане, что показал возможность использования не просто похожих буков, а вообще нечитабельных символов, сумев зарегить подобный домен. Чего вообще быть не должно!

    Ну, то есть я опять вернулся к тому, что браузеры тут не причем...
    Хотя... Сафари вон не парится с кириллицей, кажет голый пьюникод. И если уж Хром желает отображать домены пользователям на их языке - вот он и ищет решения не своих проблем.

    - - - - -Добавлено - - - - -

    Цитата Сообщение от hou Посмотреть сообщение
    Послушайте если правельный машинный перевод то там рекомендация true значение или нет?
    true - показывает сырое пьюни имя xn--80arbjktj.xn--p1ai,
    false - отображает декодированный домен мойсайт.рф (значение по умолчанию)

  9. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Да, все верно. Просто хотел отметить, что разработчики браузеров работают над этим. Не знаю, оправдано это или нет в этом случае, однако сочли нужным, видимо.

  10. Это понравилось:


Похожие темы

  1. Не запускается Firefox и opera. IE и Chrome работают
    От velichko_rv в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 27.07.2015, 13:27
  2. Ответов: 17
    Последнее сообщение: 12.07.2015, 23:08
  3. Не работают браузеры (Opera, Firefox, Chrome, IE)
    От Horus-kr в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 11.12.2011, 05:02
  4. Ответов: 2
    Последнее сообщение: 15.06.2009, 17:31

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01520 seconds with 17 queries