ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > పేరులో ఒకే విధమైన యూనికోడ్ అక్షరాలతో ఫిషింగ్ డొమైన్‌లను నమోదు చేయగల సామర్థ్యం

పేరులో ఒకే విధమైన యూనికోడ్ అక్షరాలతో ఫిషింగ్ డొమైన్‌లను నమోదు చేయగల సామర్థ్యం

సోలబుల్ నుండి పరిశోధకులు గుర్తించారు డొమైన్‌లను నమోదు చేయడానికి కొత్త మార్గం హోమోగ్లిఫ్స్, ఇతర డొమైన్‌ల మాదిరిగానే ఉంటుంది, కానీ వేరే అర్థంతో అక్షరాలు ఉండటం వల్ల వాస్తవానికి భిన్నంగా ఉంటుంది. ఇలాంటి అంతర్జాతీయ డొమైన్‌లు (IDN) మొదటి చూపులో ప్రసిద్ధ కంపెనీలు మరియు సేవల డొమైన్‌ల నుండి భిన్నంగా ఉండకపోవచ్చు, ఇది ఫిషింగ్ కోసం వాటిని ఉపయోగించడానికి అనుమతిస్తుంది, వాటి కోసం సరైన TLS సర్టిఫికేట్‌లను పొందడం కూడా.

ఒకే విధమైన IDN డొమైన్ ద్వారా క్లాసిక్ ప్రత్యామ్నాయం చాలా కాలంగా బ్రౌజర్‌లు మరియు రిజిస్ట్రార్‌లలో బ్లాక్ చేయబడింది, వివిధ వర్ణమాలల నుండి అక్షరాలను కలపడంపై నిషేధానికి ధన్యవాదాలు. ఉదాహరణకు, లాటిన్ “a” (U+43)ని సిరిలిక్ “a” (U+0061)తో భర్తీ చేయడం ద్వారా apple.com (“xn--pple-0430d.com”) డమ్మీ డొమైన్ సృష్టించబడదు. డొమైన్‌లోని అక్షరాలు వేర్వేరు వర్ణమాలల నుండి కలపబడినవి అనుమతించబడవు. 2017లో ఉంది కనుగొన్నారు లాటిన్ వర్ణమాలను ఉపయోగించకుండా, డొమైన్‌లో యూనికోడ్ అక్షరాలను మాత్రమే ఉపయోగించడం ద్వారా అటువంటి రక్షణను దాటవేయడానికి ఒక మార్గం (ఉదాహరణకు, లాటిన్‌తో సమానమైన అక్షరాలతో భాషా చిహ్నాలను ఉపయోగించడం).

లాటిన్ మరియు యూనికోడ్ కలపడాన్ని రిజిస్ట్రార్లు నిరోధించారనే వాస్తవం ఆధారంగా ఇప్పుడు రక్షణను దాటవేసే మరొక పద్ధతి కనుగొనబడింది, అయితే డొమైన్‌లో పేర్కొన్న యూనికోడ్ అక్షరాలు లాటిన్ అక్షరాల సమూహానికి చెందినట్లయితే, అటువంటి మిక్సింగ్ అనుమతించబడుతుంది, ఎందుకంటే అక్షరాలు చెందినవి అదే వర్ణమాల. సమస్య పొడిగింపులో ఉంది యూనికోడ్ లాటిన్ IPA లాటిన్ వర్ణమాలలోని ఇతర అక్షరాలకు వ్రాతపూర్వకంగా సమానమైన హోమోగ్లిఫ్‌లు ఉన్నాయి:
చిహ్నం "ɑ"a"ని పోలి ఉంటుంది, "ɡ" - "g", "ɩ" - "l".

పేరులో ఒకే విధమైన యూనికోడ్ అక్షరాలతో ఫిషింగ్ డొమైన్‌లను నమోదు చేయగల సామర్థ్యం

నిర్దిష్ట యూనికోడ్ అక్షరాలతో లాటిన్ అక్షరాలు మిళితం చేయబడిన డొమైన్‌లను నమోదు చేసే అవకాశం రిజిస్ట్రార్ వెరిసైన్ (ఇతర రిజిస్ట్రార్‌లు పరీక్షించబడలేదు) ద్వారా గుర్తించబడింది మరియు Amazon, Google, Wasabi మరియు DigitalOcean సేవలలో సబ్‌డొమైన్‌లు సృష్టించబడ్డాయి. సమస్య గత ఏడాది నవంబర్‌లో కనుగొనబడింది మరియు నోటిఫికేషన్‌లు పంపబడినప్పటికీ, మూడు నెలల తర్వాత ఇది Amazon మరియు Verisign లలో మాత్రమే చివరి నిమిషంలో పరిష్కరించబడింది.

ప్రయోగం సమయంలో, వెరిసైన్‌తో కింది డొమైన్‌లను నమోదు చేయడానికి పరిశోధకులు $400 వెచ్చించారు:

  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • mɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • aticstatic.com
  • steɑmpowered.com
  • theɡguardian.com
  • theverɡe.com
  • washingtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • www.gooɡleapis.com
  • huffinɡtonpost.com
  • instaram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • roidndroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɩoogɩe.com

పరిశోధకులు కూడా ప్రారంభించారు ఆన్లైన్ సేవ హోమోగ్లిఫ్‌లతో సాధ్యమయ్యే ప్రత్యామ్నాయాల కోసం మీ డొమైన్‌లను తనిఖీ చేయడానికి, ఇప్పటికే నమోదిత డొమైన్‌లు మరియు సారూప్య పేర్లతో TLS ప్రమాణపత్రాలను తనిఖీ చేయడం. HTTPS సర్టిఫికేట్‌ల విషయానికొస్తే, హోమోగ్లిఫ్‌లతో కూడిన 300 డొమైన్‌లు సర్టిఫికేట్ పారదర్శకత లాగ్‌ల ద్వారా తనిఖీ చేయబడ్డాయి, వీటిలో 15 సర్టిఫికేట్‌ల ఉత్పత్తి నమోదు చేయబడింది.

ప్రస్తుత క్రోమ్ మరియు ఫైర్‌ఫాక్స్ బ్రౌజర్‌లు అటువంటి డొమైన్‌లను అడ్రస్ బార్‌లో “xn--“ ఉపసర్గతో సంజ్ఞామానంలో ప్రదర్శిస్తాయి, అయితే, లింక్‌లలో డొమైన్‌లు మార్పిడి లేకుండానే కనిపిస్తాయి, ఇవి హానికరమైన వనరులను లేదా లింక్‌లను పేజీలలోకి చొప్పించడానికి ఉపయోగించబడతాయి. చట్టబద్ధమైన సైట్‌ల నుండి వాటిని డౌన్‌లోడ్ చేయడం. ఉదాహరణకు, హోమోగ్లిఫ్‌లతో గుర్తించబడిన డొమైన్‌లలో ఒకదానిలో, j క్వెరీ లైబ్రరీ యొక్క హానికరమైన వెర్షన్ పంపిణీ రికార్డ్ చేయబడింది.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి