翻譯:陳匡kk
預估稿費:60RMB
投稿方式:發送郵件至linwei#360.cn,或登陸網頁版在線投稿
你相信這是一個釣魚網站的域名嗎?
Punycode可以讓域名由外文組成。Punycode使用ASCII字符集,可以把外文域名轉換成有意義的字符。例如,域名「xn--s7y.co」,會被轉換成「短.co」。
在安全角度看,由於Unicode字符與ASCII字符難以區分,所以註冊Unicode域名「xn--pple-43d.com」,會被轉換成「apple.com」。乍看下域名沒大分別,可是「apple.com」的a用編碼Cyrillic (U+0430),而不是編碼ASCII (U+0041)。這就是傳統的IDN欺騙。
幸運的是,現在的瀏覽器有防禦機制限制IDN欺騙。像火狐和Chrome瀏覽器,如果域名包含多個不同語言的外文編碼,就會把域名的Unicode編碼以正則表達式顯示。例如,「apple.com」會被顯示為「xn--pple-43d.com」,這就避免與真正的蘋果官網混淆。
火狐和Chrome的IDN欺騙防禦機制是可以被繞過的,如整個釣魚網站域名都是由一種語言的外文編碼組成,例如「apple.com」,是由Cyrillic編碼「xn--80ak6aa92e.com」所組成。經常發生IDN欺騙,是因為在火狐和Chrome上,所有英文都是採用同一字體,因此在視覺上難以區分域名是由哪種編碼組成。在這情況下,用戶只能靠SSL證書來識別網站的真偽性。
2017年1月20日,這漏洞已經提交給火狐和Chrome,而Chrome 59已經把這漏洞修復。Chrome團隊決定把Chrome 58也納入修復中,預計在4有25日就能完成修復。而火狐則表示這漏洞未能解決。在火狐漏洞平臺中,這漏洞狀態由「修復中」轉為「不會修復」,並把危險級別標為「低危」。
火狐用戶想修復這漏洞,可以前往about:config並設置network.IDN_show_punycode為true,以正則表達式來顯示IDN域名,從而分辨域名的真偽性。
各瀏覽器測試截圖
Chrome
Firefox
Firefox SSL
總結
當用戶從網站輸入個人資料,必須注意域名的真偽性。同時,希望火狐能夠考慮修復這個漏洞。
相關推薦
