ProHoster > blog > habari za mtandao > Uwezo wa kusajili vikoa vya hadaa vilivyo na herufi sawa za unicode kwa jina

Uwezo wa kusajili vikoa vya hadaa vilivyo na herufi sawa za unicode kwa jina

Watafiti kutoka kwa Mumunyifu imefichuliwa njia mpya ya kusajili vikoa nayo homoglyphs, sawa kwa mwonekano na vikoa vingine, lakini kwa kweli ni tofauti kutokana na kuwepo kwa wahusika wenye maana tofauti. Vikoa sawa vya kimataifa (IDN) huenda kwa mtazamo wa kwanza visitofautiane na vikoa vya makampuni na huduma zinazojulikana, ambazo huziruhusu kutumika kwa ajili ya kuhadaa ili kupata maelezo ya kibinafsi, ikiwa ni pamoja na kupata vyeti sahihi vya TLS kwao.

Ubadilishaji wa awali kupitia kikoa kinachoonekana kuwa sawa cha IDN umezuiwa kwa muda mrefu katika vivinjari na wasajili, kutokana na kupiga marufuku kuchanganya herufi kutoka alfabeti tofauti. Kwa mfano, kikoa dummy apple.com (β€œxn--pple-43d.com”) hakiwezi kuundwa kwa kubadilisha neno la Kilatini β€œa” (U+0061) na la Kisirili β€œa” (U+0430), kwa kuwa herufi katika kikoa zimechanganywa kutoka kwa alfabeti tofauti hairuhusiwi. Mnamo 2017 kulikuwa na kupatikana njia ya kukwepa ulinzi kama huo kwa kutumia herufi za unicode pekee kwenye kikoa, bila kutumia alfabeti ya Kilatini (kwa mfano, kutumia alama za lugha zenye vibambo sawa na Kilatini).

Sasa njia nyingine ya kupitisha ulinzi imepatikana, kwa kuzingatia ukweli kwamba wasajili huzuia kuchanganya Kilatini na Unicode, lakini ikiwa wahusika wa Unicode waliotajwa kwenye kikoa ni wa kundi la wahusika wa Kilatini, kuchanganya vile kunaruhusiwa, kwa kuwa wahusika ni wa. alfabeti sawa. Tatizo ni kwamba katika ugani Unicode Kilatini IPA kuna homoglyphs zinazofanana katika maandishi na wahusika wengine wa alfabeti ya Kilatini:
ishara"Ι‘" inafanana na "a", "Ι‘"-"g", "Ι©"-"l".

Uwezo wa kusajili vikoa vya hadaa vilivyo na herufi sawa za unicode kwa jina

Uwezekano wa kusajili vikoa ambavyo alfabeti ya Kilatini imechanganywa na herufi maalum za Unicode ilitambuliwa na msajili Verisign (wasajili wengine hawakujaribiwa), na vikoa vidogo viliundwa katika huduma za Amazon, Google, Wasabi na DigitalOcean. Tatizo liligunduliwa mnamo Novemba mwaka jana na, licha ya arifa zilizotumwa, miezi mitatu baadaye lilirekebishwa kwa dakika ya mwisho tu huko Amazon na Verisign.

Wakati wa jaribio, watafiti walitumia $400 kusajili vikoa vifuatavyo na Verisign:

  • amzoni.com
  • chΙ‘se.com
  • sforcelesforce.com
  • .commΙ‘il.com
  • .comppΙ©e.com
  • ebyy.com
  • .comstatic.com
  • mbwembwe.com
  • jifunze
  • theverΙ‘e.com
  • washingtonpost.com
  • pΙ‘Ι©ypΙ‘Ι©.com
  • lmΙ‘rt.com
  • wssbisys.com
  • yΙ‘hoo.com
  • mziki.com
  • deΙ©Ι©.com
  • gmΙ‘iΙ©.com
  • www.gooΙ‘leapis.com
  • huffinΙ‘tonpost.com
  • Instagram.com
  • microsoftonΙ©ine.com
  • Picha za
  • roidndroid.com
  • netfix.com
  • nvidiΙ‘.com
  • .comoogΙ©e.com

Watafiti pia walizindua huduma ya mtandaoni kuangalia vikoa vyako kwa mbadala zinazowezekana kwa homoglyphs, ikiwa ni pamoja na kuangalia vikoa vilivyosajiliwa tayari na vyeti vya TLS vilivyo na majina sawa. Kuhusu vyeti vya HTTPS, vikoa 300 vilivyo na homoglyphs viliangaliwa kupitia kumbukumbu za Uwazi wa Cheti, ambapo utoaji wa vyeti ulirekodiwa kwa 15.

Vivinjari vya sasa vya Chrome na Firefox vinaonyesha vikoa kama hivyo kwenye upau wa anwani katika nukuu yenye kiambishi awali β€œxn--β€œ, hata hivyo, katika viungo vikoa huonekana bila ubadilishaji, ambavyo vinaweza kutumika kuingiza rasilimali au viungo hasidi kwenye kurasa, kwa kujificha. ya kupakua kutoka kwa tovuti halali. Kwa mfano, kwenye mojawapo ya vikoa vilivyotambuliwa vilivyo na homoglyphs, usambazaji wa toleo hasidi la maktaba ya jQuery ulirekodiwa.

Chanzo: opennet.ru

Kuongeza maoni