Kispad

Kispad: közös blog
4230 cikk, 53905 hozzászólás
Szerzők | Tudnivalók | Feedek


Javíthatatlan biztonsági hiba

eszpee cikke a Torokgeek rovatból, 2005. február 9. szerda, 11:44 | 10 hozzászólás

Ráadásul most csak az alternatív böngészőkben, az IE, mivel nem támogatja az ékezetes domainneveket, nem érintett. Először a példa, majd itt a magyarázat.

Kis alapozás. A nemzetközi karaktereket is tartalmazó domainnevek bármilyen unicode karaktert tartalmazhatnak. A probléma ott kezdődik, hogy valakinek leesett, az angol karaktereknek is létezik unicode változatuk, és így kódolva külön domainnévként szabadon regisztrálhatóak. (Ha valaki megnézte a fenti oldal forráskódját, láthatta, hogy a paypal.com így szerepel benne: www.pаypal.com.)

Két esetleges javítást tudok elképzelni:

- Domainnév regisztrátori oldalon ellenőrzik és tiltják az eddig is megengedett karakterek kódolt változatainak regisztrálását - ez valószínűleg majd csak hosszútávon lesz megoldás.

- Böngésző oldalon valami kis ikonnal vagy megváltozott url mező háttérszínnel jelzik, hogy ez egy nemzetközi cím - esetleg külön erősebben figyelmeztetve, ha ennek ellenére csak a normál domainneveknél is engedélyezett karaktereket tartalmaz.

» Ugorj a hozzászóló ablakhoz

Megosztások Facebookon

Eddigi hozzászólások (10)

1

Boca, 2005. február 9. szerda, 13:24 (#)

Bizzunk benne, hogy mihamarabb kijon egy patch. Rohej, hogy meg az ssl tanusitvany szovegeben is frankon azt irja, hogy en bizony a paypal-hoz csatlakozom es ezt csak mi ketten tudjuk, en meg a paypal.

Mozillakhoz workaround:
"You can disable IDN support in mozilla products by setting 'network.enableIDN'
to false."
Ezzel ugyebar letiltjuk a nemzetkozi domainnevek hasznalatat, amig meg nem jon a korrekt javitas.

2

.dot, 2005. február 9. szerda, 13:25 (#)

http://www.retrosynth.com/misc/phishing.html

3

Boca, 2005. február 9. szerda, 13:46 (#)

Nekem egyelore hatastalan ez a megadott workaround. Ha talalok megoldast, ideposztolom.

4

Boca, 2005. február 9. szerda, 15:15 (#)

A felmegoldas:
http://forums.mozillazine.org/viewtopic.php?t=215221

A lenyege, hogy a compreg.dat file-ban kell a '@mozilla.org/network/idn-service;1'-t tartalmazo sorban az 1-est 0-ra cserelni, vagy a sort kikommentezni.
Fontos, hogy uj tema vagy kiterjesztes installalasakor ujra meg kell csinalni ezt a lepest, mert a compreg file felulirodik.
Kiprobaltam, nekem mukodik, FF restart utan is.

5

Szasza, 2005. február 9. szerda, 16:16 (#)

:)) most kezdodik csak a "halaszat" igazan :))

6

eszpee, 2005. február 9. szerda, 16:17 (#)

Másik mozilla alapú megoldás, be kell kapcsolni az AdBlock extensionben a Site Blockingot, és felvenni a listára ezt:

/[^\x20-\xFF]/

Szellemes, nem kell fájlokat szerkesztgetni, és blokkol minden unicode kódolású url-t.

Opera alatt sajnos a filter.ini-vel ez nem oldható meg, mivel kedvenc böngészőnk nem kezel reguláris kifejezéseket.

7

Jano, 2005. február 10. csütörtök, 11:26 (#)

Eszpee: ez nem fogja letiltani az esetleges URL-ben kodolt parametereket is?

8

eszpee, 2005. február 10. csütörtök, 12:27 (#)

Jano, jó kérdés, ki kéne próbálni. Esetleg kiegészíthető lehet a dolog egy \.{2,4}\/ -rel, de ezt csak így hirtelen.

9

Boca, 2005. február 10. csütörtök, 18:36 (#)

Az URLben ezidaig ugyebar nem voltak karakterek ebbol az intervallumbol, ezeket %hh formatumban kodoltak, szoval nem. A hack abbol indul ki, hogy nincs szukseged sehol sem ilyen karakterekre. Persze ez attol fugg, hogy az Adblock mit tekint karakternek. A probatok milyen eredmenyt hozott?

10

Boca, 2005. február 11. péntek, 15:23 (#)

Olvasgatom az egyes alternativ bongeszok forumait ezzel a hibaval kapcsolatban.
Furcsa, hogy sokan azon sopankodnak, hogy nem szabad kikapcsolni a javitott verzioban az IDN kezelest, mert ez hatranyosan erinti az unicode neveket hasznalokat.
Namost az IDN nem tul regi lehetoseg a weben, tehat azert olyan sok webgazdat nem fog hatranyosan erinteni, csak azt, aki most akart website-ot inditani a weben es kizarolag IDN hostnev alatt. Mindenki masnak kellett hogy legyen ascii domainje is korabban. Velemenyem szerint ha kiderult egy ilyen sulyos elvi hiba, akkor igazan korrekt megoldas, hogy addig nem tamogatja egyik brozer sem az IDN-t, amig ez a kerdes nincs rendezve. Termeszetesen most arrol beszelek, milyen alapbeallitassal lenne idealis a patchelt bongeszoket kiadni, aztan onnantol mindenki azt allit benne, amit akar. Pl. jo lenne, ha az IDN-t a user bekapcsolhatna, sajat felelossegre.
Az egyik postban valaki ramutatott, hogy a trukk forditva is mukodik: eredetileg joszandeku IDN domain nev is atverheto egy hasonlo, ascii karaktert tartalmazo megfelelovel, ugyanolyan okbol kifolyolag, nevezetesen hogy a 2 rendszerben azonos a betuk kinezete.
Talan az lenne a jo megoldas meg, ha pl. az unicode karakter bold lenne az URLben, akkor mar nem nezne ki teljesen ugyanugy, mint az ascii megfeleloje.


Hozzászólsz?

Igen

Hozzászólást csak névvel együtt fogadunk el. Ha linket írsz be, akkor előtte és utána hagyj egy szóközt, főleg akkor, ha zárójelbe teszed.


Az oldal tetejére | Szerzők, tudnivalók, feedek | sesblog és Kispad © 2003-2010 ervin, eszpee, stsmork