Fuerscher aus Soluble en neie Wee fir Domainen ze registréieren mat , ähnlech am Erscheinungsbild wéi aner Domainen, awer tatsächlech anescht wéinst der Präsenz vu Charaktere mat enger anerer Bedeitung. Ähnlech internationaliséiert Domainen () kann op den éischte Bléck net vun den Domainen vu bekannte Firmen a Servicer ënnerscheeden, wat et erlaabt datt se fir Phishing benotzt ginn, och d'korrekt TLS Zertifikater fir si ze kréien.
Klassesch Ersatz duerch e scheinbar ähnlechen IDN-Domain ass laang a Browser a Registrar blockéiert ginn, dank dem Verbuet fir Zeeche vu verschiddene Alphabeten ze vermëschen. Zum Beispill kann en Dummy-Domain apple.com ("xn--pple-43d.com") net erstallt ginn andeems de Laténgeschen "a" (U+0061) duerch de kyrilleschen "a" (U+0430) ersat gëtt, well de Buschtawen am Domain sinn aus verschiddene Alphabeten gemëscht ass net erlaabt. 2017 gouf et e Wee fir esou Schutz ëmzegoen andeems se nëmmen Unicode-Zeechen am Domain benotzen, ouni dat laténgescht Alphabet ze benotzen (zum Beispill Sproochesymboler mat Zeeche ähnlech wéi Latäin).
Elo gouf eng aner Methode fonnt fir de Schutz ëmzegoen, baséiert op der Tatsaach datt Registraren d'Vermëschung vu Latäin an Unicode blockéieren, awer wann d'Unicode Charaktere, déi am Domain spezifizéiert sinn, zu enger Grupp vu laténgesche Charaktere gehéieren, ass sou Vermëschung erlaabt, well d'Charaktere gehéieren déi selwecht Alphabet. De Problem ass, datt an der Extensioun et ginn Homoglyphen ähnlech schrëftlech wéi aner Zeechen vum laténgesche Alphabet:
Symbol "" gläicht "a", ""-"g", ""-"l".
D'Méiglechkeet fir Domainen anzeschreiwen, an deenen d'laténgesch Alphabet mat spezifizéierte Unicode Charaktere gemëscht ass, gouf vum Registrar Verisign identifizéiert (aner Registrarer goufen net getest), an Ënnerdomainen goufen an de Servicer vun Amazon, Google, Wasabi an DigitalOcean erstallt. De Problem gouf am November d'lescht Joer entdeckt an, trotz Notifikatiounen geschéckt, dräi Méint méi spéit gouf et an der leschter Minutt nëmmen an Amazon a Verisign fixéiert.
Wärend dem Experiment hunn d'Fuerscher $400 ausginn fir déi folgend Domainen mat Verisign ze registréieren:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑdroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
D'Fuerscher hunn och lancéiert fir Är Domainen fir méiglech Alternativen mat Homoglyphen z'iwwerpréiwen, dorënner och schonn registréiert Domainen an TLS Zertifikater mat ähnlechen Nimm ze kontrolléieren. Wéi fir HTTPS Certificaten, goufen 300 Domains mat Homoglyphen iwwer d'Certificate Transparency Logbicher iwwerpréift, vun deenen d'Generatioun vun Certificaten fir 15 opgeholl gouf.
Aktuelle Browser Chrome a Firefox weisen esou Domainen an der Adressbar an der Notatioun mam Präfix "xn--", awer a Linken erschéngen d'Domaen ouni Konversioun, déi benotzt kënne ginn fir béiswëlleg Ressourcen oder Linken op Säiten anzesetzen, ënner dem Deckmantel vun eroflueden se vun legitime Siten. Zum Beispill, op engem vun den identifizéierten Domainen mat Homoglyphen, gouf d'Verdeelung vun enger béiswëlleger Versioun vun der jQuery-Bibliothéik opgeholl.
Source: opennet.ru