Vísindamenn frá Soluble ný leið til að skrá lén hjá , svipað í útliti og önnur lén, en í raun öðruvísi vegna tilvistar persóna með aðra merkingu. Svipuð alþjóðavædd lén () getur við fyrstu sýn ekki verið frábrugðin lénum þekktra fyrirtækja og þjónustu, sem gerir þeim kleift að nota til vefveiða, þar á meðal að fá rétt TLS vottorð fyrir þau.
Klassísk skipting í gegnum svipað IDN lén hefur lengi verið læst í vöfrum og skráseturum, þökk sé banninu við að blanda saman stöfum úr mismunandi stafrófum. Til dæmis er ekki hægt að búa til dummy lén apple.com („xn--pple-43d.com“) með því að skipta út latneska „a“ (U+0061) fyrir kýrilíska „a“ (U+0430), þar sem bókstöfum í léninu er blandað saman úr mismunandi stafrófum er ekki leyfilegt. Árið 2017 var leið til að komast framhjá slíkri vernd með því að nota eingöngu unicode stafi í léninu, án þess að nota latneska stafrófið (til dæmis með því að nota tungumálatákn með stöfum sem líkjast latínu).
Nú hefur fundist önnur aðferð til að komast framhjá verndinni sem byggir á því að skráningaraðilar loki á blöndun latínu og Unicode, en ef Unicode-stafirnir sem tilgreindir eru í léninu tilheyra hópi latneskra stafa er slík blöndun leyfð, þar sem stafirnir tilheyra sama stafrófið. Vandamálið er að í framlengingunni það eru samhljóðmerki sem líkjast öðrum stöfum í latneska stafrófinu:
tákn"" líkist "a", "" - "g", "" - "l".
Möguleikinn á að skrá lén þar sem latneska stafrófið er blandað saman við tilgreinda Unicode stafi var auðkenndur af skráningaraðilanum Verisign (aðrir skrásetjarar voru ekki prófaðir) og undirlén voru búin til í þjónustu Amazon, Google, Wasabi og DigitalOcean. Vandamálið uppgötvaðist í nóvember á síðasta ári og þrátt fyrir sendar tilkynningar var þremur mánuðum síðar lagað á síðustu stundu aðeins í Amazon og Verisign.
Meðan á tilrauninni stóð eyddu vísindamennirnir $400 til að skrá eftirfarandi lén hjá Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- roidndroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Rannsakendur hófu einnig til að athuga lénin þín fyrir mögulegum valkostum með samhljóðum, þar á meðal að athuga þegar skráð lén og TLS vottorð með svipuðum nöfnum. Að því er varðar HTTPS vottorð voru 300 lén með samheiti athugað í gegnum skírteinagagnsæisskrána, þar af var gerð vottorða skráð fyrir 15.
Núverandi vafrar Chrome og Firefox birta slík lén í veffangastikunni í merkingunni með forskeytinu „xn--“, hins vegar, í tenglum birtast lénin án umbreytingar, sem hægt er að nota til að setja skaðleg tilföng eða tengla inn á síður, undir yfirskini að hlaða þeim niður af lögmætum síðum. Til dæmis, á einu af auðkenndu lénunum með samhljóðum, var dreifing illgjarns afbrigðis af jQuery bókasafninu skráð.
Heimild: opennet.ru