கரையக்கூடிய ஆராய்ச்சியாளர்கள் டொமைன்களை பதிவு செய்வதற்கான புதிய வழி , தோற்றத்தில் மற்ற டொமைன்களைப் போன்றது, ஆனால் வேறு அர்த்தமுள்ள எழுத்துக்கள் இருப்பதால் உண்மையில் வேறுபட்டது. இதே போன்ற சர்வதேசமயமாக்கப்பட்ட டொமைன்கள் () முதல் பார்வையில் நன்கு அறியப்பட்ட நிறுவனங்கள் மற்றும் சேவைகளின் டொமைன்களிலிருந்து வேறுபடாமல் இருக்கலாம், இது அவர்களுக்கு சரியான TLS சான்றிதழ்களைப் பெறுவது உட்பட ஃபிஷிங்கிற்குப் பயன்படுத்த அனுமதிக்கிறது.
ஒரே மாதிரியான IDN டொமைன் மூலம் கிளாசிக் மாற்றீடு நீண்ட காலமாக உலாவிகள் மற்றும் பதிவாளர்களில் தடுக்கப்பட்டுள்ளது, வெவ்வேறு எழுத்துக்களில் உள்ள எழுத்துக்களை கலப்பதற்கு தடை விதிக்கப்பட்டுள்ளது. எடுத்துக்காட்டாக, லத்தீன் “a” (U+43) ஐ சிரிலிக் “a” (U+0061) உடன் மாற்றுவதன் மூலம் apple.com (“xn--pple-0430d.com”) என்ற போலி டொமைனை உருவாக்க முடியாது. டொமைனில் உள்ள எழுத்துக்கள் வெவ்வேறு எழுத்துக்களில் இருந்து கலக்கப்படுவது அனுமதிக்கப்படாது. 2017 இல் இருந்தது லத்தீன் எழுத்துக்களைப் பயன்படுத்தாமல், டொமைனில் யூனிகோட் எழுத்துக்களை மட்டுமே பயன்படுத்துவதன் மூலம் அத்தகைய பாதுகாப்பைத் தவிர்ப்பதற்கான ஒரு வழி (உதாரணமாக, லத்தீன் போன்ற எழுத்துக்களைக் கொண்ட மொழி குறியீடுகளைப் பயன்படுத்துதல்).
பதிவாளர்கள் லத்தீன் மற்றும் யூனிகோட் கலப்பதைத் தடுக்கிறார்கள் என்ற உண்மையின் அடிப்படையில் இப்போது பாதுகாப்பைத் தவிர்ப்பதற்கான மற்றொரு முறை கண்டறியப்பட்டுள்ளது, ஆனால் டொமைனில் குறிப்பிடப்பட்டுள்ள யூனிகோட் எழுத்துக்கள் லத்தீன் எழுத்துக்களின் குழுவைச் சேர்ந்ததாக இருந்தால், அத்தகைய கலவை அனுமதிக்கப்படுகிறது, ஏனெனில் எழுத்துக்கள் அதே எழுத்துக்கள். பிரச்சனை என்னவென்றால் நீட்டிப்பில் உள்ளது லத்தீன் எழுத்துக்களின் மற்ற எழுத்துக்களை ஒத்த ஹோமோகிளிஃப்கள் உள்ளன:
சின்னம் ""அ", "ஐ ஒத்திருக்கிறது" - "g", "" - "எல்".
குறிப்பிட்ட யூனிகோட் எழுத்துகளுடன் லத்தீன் எழுத்துக்கள் கலந்திருக்கும் டொமைன்களைப் பதிவுசெய்வதற்கான சாத்தியக்கூறுகள் பதிவாளர் Verisign ஆல் அடையாளம் காணப்பட்டது (பிற பதிவாளர்கள் சோதிக்கப்படவில்லை), மேலும் Amazon, Google, Wasabi மற்றும் DigitalOcean சேவைகளில் துணை டொமைன்கள் உருவாக்கப்பட்டன. கடந்த ஆண்டு நவம்பரில் இந்த சிக்கல் கண்டறியப்பட்டது, அறிவிப்புகள் அனுப்பப்பட்ட போதிலும், மூன்று மாதங்களுக்குப் பிறகு அது Amazon மற்றும் Verisign இல் மட்டுமே கடைசி நிமிடத்தில் சரி செய்யப்பட்டது.
சோதனையின் போது, பின்வரும் டொமைன்களை Verisign உடன் பதிவு செய்ய ஆராய்ச்சியாளர்கள் $400 செலவிட்டனர்:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɑmɑil.com
- ɑppɩe.com
- ebɑy.com
- aticstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- gooɡleapis.com
- huffinɡtonpost.com
- instaɡram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- roidndroid.com
- netfɩix.com
- nvidiɑ.com
- ɩoogɩe.com
ஆராய்ச்சியாளர்களும் துவக்கி வைத்தனர் ஏற்கனவே பதிவுசெய்யப்பட்ட டொமைன்கள் மற்றும் ஒத்த பெயர்களைக் கொண்ட TLS சான்றிதழ்களைச் சரிபார்ப்பது உட்பட, ஹோமோகிளிஃப்களுடன் சாத்தியமான மாற்றுகளுக்கு உங்கள் டொமைன்களைச் சரிபார்க்க. HTTPS சான்றிதழ்களைப் பொறுத்தவரை, ஹோமோகிளிஃப்களுடன் கூடிய 300 டொமைன்கள் சான்றிதழ் வெளிப்படைத்தன்மை பதிவுகள் மூலம் சரிபார்க்கப்பட்டன, அவற்றில் 15 சான்றிதழ்களின் உருவாக்கம் பதிவு செய்யப்பட்டது.
தற்போதைய உலாவிகளான குரோம் மற்றும் பயர்பாக்ஸ் அத்தகைய டொமைன்களை முகவரிப் பட்டியில் "xn--" முன்னொட்டுடன் காட்டுகின்றன, இருப்பினும், இணைப்புகளில் டொமைன்கள் மாற்றப்படாமல் தோன்றும், இது தீங்கிழைக்கும் ஆதாரங்கள் அல்லது இணைப்புகளை பக்கங்களில் செருகுவதற்குப் பயன்படுத்தப்படலாம். முறையான தளங்களிலிருந்து அவற்றைப் பதிவிறக்குவது. எடுத்துக்காட்டாக, ஹோமோகிளிஃப்களுடன் அடையாளம் காணப்பட்ட டொமைன்களில் ஒன்றில், jQuery நூலகத்தின் தீங்கிழைக்கும் மாறுபாட்டின் விநியோகம் பதிவு செய்யப்பட்டது.
ஆதாரம்: opennet.ru