محلول مان محقق ڊومينز رجسٽر ڪرڻ جو هڪ نئون طريقو ، ظاهر ۾ ٻين ڊومينز سان ملندڙ جلندڙ، پر اصل ۾ مختلف معنيٰ رکندڙ ڪردارن جي موجودگيءَ سبب. ملندڙ بين الاقوامي ڊومينز () شايد پهرين نظر ۾ مشهور ڪمپنين ۽ خدمتن جي ڊومينز کان مختلف نه هجي، جيڪا انهن کي فشنگ لاءِ استعمال ڪرڻ جي اجازت ڏئي ٿي، بشمول انهن لاءِ صحيح TLS سرٽيفڪيٽ حاصل ڪرڻ.
بظاهر هڪجهڙائي رکندڙ IDN ڊومين ذريعي ڪلاسڪ متبادل کي گهڻي وقت کان برائوزرن ۽ رجسٽرار ۾ بلاڪ ڪيو ويو آهي، مختلف الفابيٽ مان اکرن کي ملائڻ تي پابندي جي مهرباني. مثال طور، هڪ ڊمي ڊومين apple.com (“xn--pple-43d.com”) لاطيني “a” (U+0061) کي سيريلڪ “a” (U+0430) سان تبديل ڪرڻ سان نه ٿو ٺاهي سگهجي. ڊومين ۾ اکر مختلف الفابيٽ مان مليل آهن اجازت نه آهي. 2017 ۾ هو لاطيني الفابيٽ استعمال ڪرڻ کان سواءِ ڊومين ۾ صرف يونيڪوڊ اکرن کي استعمال ڪندي اهڙي تحفظ کي نظرانداز ڪرڻ جو طريقو (مثال طور، لاطيني سان ملندڙ اکرن سان ٻولي جي علامتن کي استعمال ڪندي).
هاڻي تحفظ کي نظرانداز ڪرڻ جو هڪ ٻيو طريقو مليو آهي، جنهن جي بنياد تي رجسٽرار لاطيني ۽ يونيڪوڊ جي ميلاپ کي روڪيندا آهن، پر جيڪڏهن ڊومين ۾ بيان ڪيل يونيڪوڊ اکر لاطيني اکرن جي گروپ سان تعلق رکن ٿا، ته اهڙي ميلاپ جي اجازت آهي، ڇاڪاڻ ته انهن اکرن جو تعلق انهن سان آهي. ساڳيو الفابيٽ. مسئلو اهو آهي ته واڌ ۾ لاطيني الفابيٽ جي ٻين اکرن سان لکڻ ۾ هوموگليفس ساڳيا آهن:
علامت ""هڪ" وانگر آهي، ""- جي""-"ل".
ڊومينز جي رجسٽريشن جو امڪان جنهن ۾ لاطيني الفابيٽ کي مخصوص يونيڪوڊ اکرن سان ملايو ويو آهي ان جي سڃاڻپ رجسٽرار Verisign (ٻين رجسٽرار جي آزمائش نه ڪئي وئي) ڪئي وئي، ۽ ذيلي ڊومينز Amazon، Google، Wasabi ۽ DigitalOcean جي خدمتن ۾ ٺاهيا ويا. مسئلو گذريل سال نومبر ۾ دريافت ڪيو ويو ۽، نوٽيفڪيشن موڪلڻ جي باوجود، ٽن مهينن بعد اهو صرف ايمازون ۽ ويريسائن ۾ آخري منٽ ۾ طئي ڪيو ويو.
تجربي دوران، محققن $400 خرچ ڪيا ھيٺ ڏنل ڊومينز کي رجسٽر ڪرڻ لاءِ Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɑmɑil.com
- ppɩe.com
- ebɑy.com
- ɡ اسٽيٽ. com
- steɑmppowered.com
- theɡguardian.com
- theverɡe.com
- ڌوٻي ɡ ٽاپ. com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- يوɑو
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com ڇا
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- roidndroid.com
- netfɩix.com
- nvidiɑ.com
- oogɩe.com
محقق پڻ شروع ڪيا پنهنجي ڊومينز کي چيڪ ڪرڻ لاءِ ممڪن متبادلن لاءِ homoglyphs سان، بشمول اڳ ۾ ئي رجسٽر ٿيل ڊومينز ۽ ساڳين نالن سان TLS سرٽيفڪيٽ کي چيڪ ڪرڻ. جيئن ته HTTPS سرٽيفڪيٽن لاءِ، 300 ڊومينز سان homoglyphs کي چيڪ ڪيو ويو سرٽيفڪيٽ شفافيت لاگز ذريعي، جن مان سرٽيفڪيٽن جي نسل کي 15 لاءِ رڪارڊ ڪيو ويو.
موجوده ڪروم ۽ فائر فاڪس برائوزر اهڙن ڊومينز کي ايڊريس بار ۾ ظاهر ڪن ٿا اڳي فڪس سان نوٽشن ۾ "xn--"، جڏهن ته، لنڪس ۾ ڊومينز بغير تبديلي جي ظاهر ٿيندا آهن، جيڪي خراب وسيلن يا صفحن تي لنڪ داخل ڪرڻ لاء استعمال ڪري سگھجن ٿيون، آڙ ۾. انهن کي جائز سائيٽن تان ڊائون لوڊ ڪرڻ لاءِ. مثال طور، هڪ سڃاڻپ ٿيل ڊومينز سان homoglyphs سان، jQuery لائبريري جي خراب ورزن جي ورڇ رڪارڊ ڪئي وئي.
جو ذريعو: opennet.ru