eXma » Diskutieren » Computer und Technik
Startseite - Veranstaltungen - Mitglieder - Suche
Vollständige Version anzeigen: Lücke in Opera/Mozilla/etc.
wombat1st
07 Feb 2005, 14:47
QUOTE (www.heise.de)
Mit einem neuen Trick können Phisher den Anwendern URLs in Webbrowsern (momentan den Standardinstallationen von Opera 7.54, Konqueror 3.2.x. und Mozilla-basierenden Webbrowsern wie Firefox 1.0) vorgaukeln. Der Trick funktioniert so gut, dass man ihn sogar auf vermeintlich SSL-gesicherte Seiten anwenden kann. In dem auf der Mailing-Liste Full Disclosure erschienenen Advisory ist eine Demo verlinkt, die den Anwender vortäuscht, auf paypal.com zu führen. Auch bei Ansicht der Seiteninformationen in Firefox scheint die Seite wirklich von PayPal zu stammen -- allein der Inhalt der Seite passt nicht so recht dazu. Bei der https-Demo erscheint die Adressleiste im Firefox gelb hinterlegt. Auch warnt der Browser nicht vor einem ungültigen Zertifikat.[...]

kompletter artikel

anhand von diesem Beispiel sieht man ziemlich schnell, daß jeder nicht IE user gefährdet ist. IE user sind aber auch nur nicht gefährdet, weil Microsoft bis heute noch keine IDN unterstützung in seinen browser implementiert hat.
wenn man bei diesem link auf eine der beiden möglichkeiten klickt, steht in der adresszeile dann, daß man bei paypal.com (mit/ohne ssl-verschlüsselung) gelandet ist.
das problem läßt sich aber auch recht einfach beheben, indem man nur noch standard domains zuläßt:

QUOTE (www.heise.de)
In der Adressleiste gibt man dazu about:config ein und setzt anschließend network.enableIDN auf false.
mcnesium
07 Feb 2005, 15:08
och nööö das is scheiße. ich hab doch ne umlaut-domain...
papajoe
07 Feb 2005, 15:34
fand sonderzeichen domains eh doof, also hab ichs abgestellt. normalerweise hat jeder seitenbetreiber, der ne sonderzeichendomain hat auch noch ne normale...
stroeh
21 Feb 2005, 15:30
http://www.heise.de/newsticker/meldung/56631
QUOTE
Umlaut-Domains in Mozilla/Firefox: Anzeigen statt abschalten

Die Entwickler der Mozilla-Foundation wollen die Nutzung von Domains mit Umlauten und anderen Sonderzeichen in den nächsten Versionen von Mozilla und Firefox nun doch nicht in der Standardeinstellung unterbinden. Erst vergangene Woche hatte das Mozilla-Team bekanntgegeben, dass man die Unterstützung von Internationalized Domain Names (IDN) vorerst per Default deaktivieren wolle, um den jüngst bekannt gewordenen Phishing-Trick zu umgehen.

Bei dem Trick wurden Domainnamen mit länderspezifischen Sonderzeichen registriert. Einige dieser Sonderzeichen in IDNs sehen jedoch den Buchstaben aus dem lateinischen Alphabet sehr ähnlich; so sieht zum Beispiel ein kyrillisches kleines a genauso so aus wie ein lateinisches kleines a. Allein der Unicode unterscheidet sich. Dies wurde bei der Demonstration der Sicherheitslücke mit der Domain paypal.com gezeigt, bei der das erste a ein kyrillisches ist.

Solche Domains sollen nun in Zukunft weiter auch mit den Standardeinstellungen funktionieren, der Name der Domain soll jedoch in dem zugehörigen Punycode angezeigt werden. Dieser kommt bereits bei der Namensauflösung beim Domain Name Service (DNS) zum Einsatz. Das erwähnte paypal.com mit kyrillischem a würde dann in der Adressleiste des Browsers als "http://www.xn--pypal-4ve.com" angezeigt. Über eine Konfigurationsoption lässt sich aber auch das alte Verhalten wieder herstellen.

Der entsprechende Code wurde in die Entwicklungszweige von Mozilla und Firefox bereits eingepflegt. Eine alternative Lösung stellt die Erweiterung Firefox-IDN Info dar, die bei dem Besuch von Web-Seiten mit Sonderzeichen über Popup auf die Gefahr aufmerksam machen kann. Diese Erweiterung funktioniert auch mit der aktuellen Firefox-Version.

Die Mozilla-Entwickler hatte vorher mehrfach betont, dass das Problem mit den Phishing-Attacken über manipulierte IDNs eigentlich kein Fehler der Browser sei, sondern ein Problem in der IDN-Implementation. Die Schwäche sei seit langem bekannt und es gebe Richtlinien, wie Provider, Registries und Registrare dieses Problem umgehen könnten. Dass ähnlich aussehende Zeichen in Domain-Namen einmal Sicherheitsprobleme aufwerfen würden, findet schon im Punycode-RFC 3492 Erwähnung. Mitte 2002 wiesen zudem zwei israelische Studenten ebenfalls auf dieses Problem hin.

Betroffen von dem Problem sind grundsätzlich alle Browser, die IDNs unterstützen. Bei Opera arbeitet man nach Medienberichten ebenfalls an einer Lösung des Problems für Opera 8.0. Microsofts Internet Explorer unterstützt in der Standardinstallation keine IDNs, sie lassen sich aber durch Plug-ins nachrüsten. (thl/c't)