Mga tigdukiduki gikan sa Soluble usa ka bag-ong paagi sa pagparehistro sa mga natad sa , susama sa dagway sa ubang mga dominyo, apan sa tinuod lahi tungod sa presensya sa mga karakter nga adunay lahi nga kahulogan. Parehas nga internasyonal nga mga dominyo () mahimo nga sa unang pagtan-aw dili lahi sa mga dominyo sa iladong mga kompanya ug serbisyo, nga nagtugot kanila nga magamit alang sa phishing, lakip ang pagkuha sa husto nga mga sertipiko sa TLS alang kanila.
Ang klasiko nga pag-ilis pinaagi sa daw parehas nga domain sa IDN dugay na nga gibabagan sa mga browser ug mga tigrehistro, salamat sa pagdili sa pagsagol sa mga karakter gikan sa lainlaing mga alpabeto. Pananglitan, ang dummy domain apple.com (“xn--pple-43d.com”) dili mahimo pinaagi sa pag-ilis sa Latin nga “a” (U+0061) sa Cyrillic “a” (U+0430), tungod kay ang Ang mga letra sa domain gisagol gikan sa lainlaing mga alpabeto dili gitugotan. Sa 2017 adunay usa ka paagi sa paglaktaw sa maong proteksyon pinaagi sa paggamit lamang sa unicode nga mga karakter sa natad, nga walay paggamit sa Latin nga alpabeto (pananglitan, paggamit sa mga simbolo sa pinulongan nga adunay mga karakter nga susama sa Latin).
Karon nakaplagan na ang laing paagi sa paglatas sa proteksyon, base sa kamatuoran nga gibabagan sa mga tigrehistro ang pagsagol sa Latin ug Unicode, apan kung ang mga karakter sa Unicode nga gipiho sa domain iya sa usa ka grupo sa Latin nga mga karakter, ang ingon nga pagsagol gitugotan, tungod kay ang mga karakter iya sa parehas nga alpabeto. Ang problema kay sa extension adunay mga homoglyph nga susama sa pagsulat sa ubang mga karakter sa Latin nga alpabeto:
simbolo"" sama sa "a", ""-"g", ""-"l".
Ang posibilidad sa pagparehistro sa mga dominyo diin ang Latin nga alpabeto gisagol sa espesipikong mga karakter sa Unicode giila sa tigrehistro nga Verisign (ang ubang mga rehistro wala gisulayan), ug ang mga subdomain gihimo sa mga serbisyo sa Amazon, Google, Wasabi ug DigitalOcean. Ang problema nadiskobrehan sa Nobyembre sa miaging tuig ug, bisan pa sa mga pahibalo nga gipadala, tulo ka bulan ang milabay kini naayo sa katapusang minuto lamang sa Amazon ug Verisign.
Atol sa eksperimento, ang mga tigdukiduki migasto og $400 aron irehistro ang mosunod nga mga domain sa Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- aticstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑdroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Naglunsad usab ang mga tigdukiduki aron susihon ang imong mga dominyo alang sa posible nga mga alternatibo nga adunay mga homoglyph, lakip ang pagsusi sa narehistro na nga mga dominyo ug mga sertipiko sa TLS nga adunay parehas nga mga ngalan. Sama sa alang sa mga sertipiko sa HTTPS, 300 ka mga domain nga adunay mga homoglyph ang gisusi pinaagi sa mga log sa Certificate Transparency, diin ang henerasyon sa mga sertipiko natala alang sa 15.
Ang mga browser karon nga Chrome ug Firefox nagpakita sa ingon nga mga domain sa address bar sa notasyon nga adunay prefix nga "xn--", bisan pa, sa mga link ang mga dominyo makita nga wala’y pagbag-o, nga magamit sa pagsulud sa makadaot nga mga kapanguhaan o mga link sa mga panid, sa ilawom sa takup. sa pag-download niini gikan sa mga lehitimong site. Pananglitan, sa usa sa giila nga mga dominyo nga adunay mga homoglyph, ang pag-apod-apod sa usa ka malisyoso nga variant sa jQuery library natala.
Source: opennet.ru