Проверка.РФ – продолжение и Google
Некоторое время назад я завёл специальную страницу, иллюстрирующую возможности по имитации многоязычных доменов, открывающиеся перед фишерами, детали описаны в отдельной заметке. Если кратко: то фокус состоит в смешении нескольких таблиц unicode в одном адресе. Так как многоязычные доменные имена в DNS всё равно кодируются ASCII-символами (латиницей, проще говоря), а преобразование происходит на стороне приложений (не в DNS), то можно любую котовасию символов записать в многоязычный домен.
Так, адрес из примера графически имитирует домен второго уровня проверка.рф, используя для имитации символ деления из специальной таблицы unicode. Получается строка вот такого вида: http://проверка.рф⁄click.dxdt.ru/, где третья слева косая черта – это вовсе не “слеш”, как можно подумать, а сам домен находится в зоне .dxdt.ru. (которой управляю я), а не в .рф. Когда та заметка публиковалась, домен РФ ещё не работал (кириллическая ссылка на dxdt.ru – работала, конечно; чем впечатляла специалистов: “а как это так?” – спрашивали они). Сейчас зона .рф доступна. И поисковики индексируют сайты в ней.
Сейчас в google.ru по запросу “проверка.рф” первой выдаётся как раз ссылка на тестовую страничку http://проверка.рф⁄click.dxdt.ru/. При этом в тизере адрес записан именно в кириллическом виде, а не в нотации Punycode, с префиксом xn--, как должно бы было быть при смешении таблиц unicode в адресе. Что и требовалось доказать. Вот скриншот:
(Думаю, и после введения кириллических доменов останутся пользователи, предпочитающие набирать адрес сайта в поисковике и переходить по верхней ссылке. Но вообще пример говорит о другом: чем больше слоёв в преобразовании символьных записей адресов, тем больше возможностей для обмана бедных пользователей.)
Как это исправить? Понятно, что Google должен смешанные адреса в тизерах показывать в Punycode – то есть, вот так: http://xn--80adjurfhd.xn--click-uye2a8548c.dxdt.ru/
Адрес записки: https://dxdt.ru/2010/06/03/3166/
Похожие записки:
- Публикация ТЦИ о постквантовых криптосистемах
- Практикум: экспорт ключей TLS на примере библиотеки Go
- Токены доступа и популярная автоматизация
- Таблицы подстановок: картинка
- TLS и подмена сертификата на jabber.ru
- Системы счисления и системное администрирование
- Mozilla Firefox и внедрение рекламных сообщений
- Как правильно "показать TLS-сертификат", рекомендации
- "Инспекция" трафика с сохранением конфиденциальности
- Ключи X25519 для гибрида с Kyber в Firefox
- Реплика: атака посредника в TLS и проблема доверия сертификатам
Комментарии читателей блога: 8
1. 3rd June 2010, 21:22 // Читатель kaschey написал:
Думаю, что на абракадабру http://xn--80adjurfhd.xn--click-uye2a8548c.dxdt.ru/ никто даже не обратит внимание.
А ссылки оставленные на форумах и присланные в спаме будут работать железно!
А уж фальшифые ссылки в поисковике это просто бомба! Я только сейчас догнал весь масштаб unicode-фишинга. Этим материалом Александр вы просто поразили!
2. 3rd June 2010, 21:27 // Читатель sarin написал:
я ничего не понял. навожу мышкой на титул – в строке состояния адрес dxdt.ru.
полез в код страницы – и там всё честно. Вы можете показать пример ссылки у которой в href будет проверка.рф?
3. 3rd June 2010, 21:29 // Читатель sarin написал:
аа, всё, понял. круто!
4. 3rd June 2010, 23:23 // Читатель RedElf написал:
эксплорер подсвечивает домены первого и второго уровня жирным, так что там довольно видно куда именно идешь
5. 4th June 2010, 09:07 // Читатель kaschey написал:
RedElf: “так что там довольно видно куда именно идешь”
Firefox ничего не подсвечивает. Да и просто старых браузеров полно.
6. 4th June 2010, 10:09 // Читатель apan написал:
Опера не открывает вообще:
The URL http://проверка.рф⁄click.dxdt.ru/ contains characters that are not valid in the location they are found.
The URL http://xn--80adjurfhd.xn--click-uye2a8548c.dxdt.ru/ contains characters that are not valid in the location they are found.
7. 4th June 2010, 20:02 // Александр Венедюхин:
Это потому, что Opera чуть более правильный браузер. Хотя блокировать ASCII-ссылки второго типа (Punycode) – это слишком большое нарушение, так нельзя. Вот многоязычные, где смешанные алфавиты – очевидно, нужно блокировать.
8. 7th June 2010, 21:54 // Читатель RedElf написал:
>Firefox ничего не подсвечивает. Да и просто старых браузеров полно.
и тут напрашивается два решения проблемы