Pewnie wiekszosc z Was juz widziala: http://www.shmoo.com/idn/ Problem polega na tym, ze wiele znakow narodowych w Unicode jest ludzaco podobne do znakow alfabetu lacinskiego. Np. w Cyrylicy jest litera wygladajaca identycznie jak lacinskie 'a'. (przynajmniej w wiekszosci fontow). I teraz. Jestem calkowicie zaskoczony tym co napisal autor o odpowiedzi Opery na ten problem:
Opera: They believe they have correctly implemented IDN, and will not be making any changes.
Czy moglibyscie zapewnic mnie, ze autor sie pomylil i Opera pracuje nad jakims rodzajem rozwiazania (lub chociaz czeka az Mozilla jakis opracuje i zamierza go zaimplementowac?)
adas napisał(a):
I fully agree that we need to minimize the phishing risk of our users.
Tak więc prace na pewno będą prowadzone. Jakkolwiek brzydko mówiąc spie...ny został standard IDN, który nie dostrzega problematyki identycznie wyglądających glifów różnych znaków w nazwach domen internetowych.
Gandalf1 napisał(a):
Huh, to dobrze, ale i tak nalezy sie ochrzan komus z Opery, kto pozwolil sobie na taki tekst (bo jakos trudno mi uwierzyc w spiskowa teorie dziejow jakoby tekst "sie sam wymyslil")
Tu jest podany sposob obejscia z uzyciem Proxomitronu, ( wczesniej rowniez nontroppo napomykal o swoim pomysle na workaround )ale nie wiem, czy napewno dziala, ani na jakiej zasadzie/pomysle sie to opiera, moze ktos to wyjasnic ?
Pozdrawiam,
janbar.)
janiszj napisał(a):
Groźny IDN
Chip podaje: "Explorer bezpieczny 2005-02-08
Z dokumentów opublikowanych przez Erica Johansona z Shmoo Group wynika, że użytkownicy większości popularnych przeglądarek internetowych narażeni są na poważne niebezpieczeństwo. Problem dotyczy programów wykorzystujących International Domain Name (IDN), czyli m.in. Mozilli, Firefoksa, Safari czy Opery. Bezpieczny za to jest... Internet Explorer, który z IDN-u nie korzysta.
Johanson doszedł do wniosku, że IDN jest bardzo łatwo oszukać, "podsuwając" internaucie sfałszowany adres URL, który skieruje go na stworzone przez włamywaczy czy spamerów strony internetowe.
Równie łatwo jednak sprawdzić, czy nie jest się przypadkiem celem ataku. Wystarczy np. sprawdzić certyfikat SSL.
Obsługę IDN można wyłączyć jedynie w Mozilli. Nie wiadomo, jak poradzić sobie z opisanym błędem w Firefoksie, Operze i Safari. Twórcy Opery stwierdzili, że dobrze zaimplementowali IDN i nie mają zamiaru wprowadzać żadnych zmian, gdyż ich przeglądarka nie jest zagrożona.
Mariusz Błoński"
Jakieś komentarze fachowców?
janiszj napisał(a):
ok, nie łączyłem tych wątków jak usunąć cały wątek, by nie robić bałaganu?
Gargamel napisał(a):
Originally posted by janbar Tu jest podany sposob obejscia z uzyciem Proxomitronu, ( wczesniej rowniez nontroppo napomykal o swoim pomysle na workaround )ale nie wiem, czy napewno dziala
Nie działa po kliknięciu w link "Click here to enter paypal via ssl"... Jedyny filtr, który u mnie prawidłowo działa, to filtr autorstwa KyeU.
Name = "Spoofed Address Exploit [Kye-U]"
Active = TRUE
URL = "(^$TYPE(css))"
Bounds = "($NEST(<(([a-z]+{1,*})|*=\s),</([a-z]+{1,*})>)|$NEST(<(([a-z]+{1,*})|*=\s),>))"
Limit = 1024
Match = "\0://(\1.([a-z]+{2,4})|*.*/)((?%00|(((%|\&#)0[01])+{1,2})))[^/]++[@|%40]\2"
"|\0://(\1.([a-z]+{2,4})|*.*/)%2F((%20|\s)+{1,*})[^/]++.\2"
"|\0://(\1.([a-z]+{2,4})|*.*/)%(2F|01)[@|%40]\2"
"|\0://(\w.|)\w\&#*;\w.([a-z]+{2,4})*"
"|\0://(*|)xn--*.([a-z]+{2,4})*"
Replace = "<strong>[URL Spoofing Exploit Removed]</strong>"
"$ALERT(URL Spoofing Vulnerability Detected and Removed on:\n\n\u)"
na jakiej zasadzie/pomysle sie to opiera, moze ktos to wyjasnic ?
Na takiej zasadzie, na jakiej się opiera pomysł przedstawiony na http://www.shmoo.com/idn/ . Tamże, pod linkiem "IDN advisory" masz wszystko opisane.
Originally posted by shmoo.com there are now many ways to display any domain name on a browser, as there are a huge number of codepages/scripts which look very similar to latin charsets.
janbar napisał(a):
Originally posted by Gargamel Na takiej zasadzie, na jakiej się opiera pomysł przedstawiony na http://www.shmoo.com/idn/ . Tamże, pod linkiem "IDN advisory" masz wszystko opisane.
Nie widze tam niczego o co pytalem. Mianowicie na jakiej zasadzie dziala filtr przedstawiony w linku, ktory podalem. Ale jak widze, nie dziala... , ten drugi filtr tez nie wiem jak dziala, a pytam tylko, czy ktos moze opisac algorytm filtru podanego przez KyeU.
Originally posted by janbar Nie widze tam niczego o co pytalem. Mianowicie na jakiej zasadzie dziala filtr przedstawiony w linku, ktory podalem. Ale jak widze, nie dziala... , ten drugi filtr tez nie wiem jak dziala, a pytam tylko, czy ktos moze opisac algorytm filtru podanego przez KyeU.
This is one example URL - - there are now many ways to display any domain name on a browser, as there are a huge number of codepages/scripts which look very similar to latin charsets.
Do nazw domen dopuszczono znaki narodowe. Okazuje się, że część znaków z innych alfabetów/stron kodowych wygląda dokładnie tak samo, jak zupełnie inne znaki łacińskie. Filtr KyeU wyłapuje "niełacińskie" znaki w linkach i zamienia te linki na swój tekst. Strona, do której prowadzi link na shmoo, a której adres wygląda jak adres paypal.com, tak naprawdę zamiast "a" ma inny, podobny znak.
Originally posted by celog proszę zerknijcie na stronke i skomentujcie
Specjalistą od zabezpieczeń nie jestem , ale wiem, że IE ten problem nie dotyczy, bo on obsługuje International Domain Names tylko przy pomocy wtyczki. Co do sprawdzania certyfikatu w Operze, to nie wiem jak to zrobić. Panel "Info" na stronie pseudo-paypala na shmoo mówi, że połączenie szyfrowane, a adres przecież wyświetla ten sam, co w pasku adresu. W ten sposób więc chyba nie da się rozpoznać "niełacińskiej" strony. Można natomiast używać filtrów do Proxomitrona. Zresztą nie tylko w tym wypadku takie narzędzia okazują się, jak mi się wydaje, najszybszym sposobem zabezpieczenia. Dlatego dziwię się, że ludzie, których takie problemy obchodzą, nie posiadają jeszcze wszyscy Proxomitrona itp. janiszj napisał(a):
Originally posted by Gargamel Można natomiast używać filtrów do Proxomitrona. Zresztą nie tylko w tym wypadku takie narzędzia okazują się, jak mi się wydaje, najszybszym sposobem zabezpieczenia. Dlatego dziwię się, że ludzie, których takie problemy obchodzą, nie posiadają jeszcze wszyscy Proxomitrona itp.
Może wynika to z problemu dokumentacji programu... Nie jest za łatwo go (czy Proximodo) skonfigurować...
Gargamel napisał(a):
Originally posted by janiszj Może wynika to z problemu dokumentacji programu... Nie jest za łatwo go (czy Proximodo) skonfigurować...
Hmmm, nie wydaje mi się trudnym odpalenie programu, a potem ustawienie w przeglądarce proxy. Co do filtrów, to jeśli się tylko komuś chce, to znajdzie opisy jak je zaaplikować.
adas napisał(a):
Opera Software ASA today announced a breakthrough in the war on Phishing. With its new SpoofProof(TM) technology, the user is safe from malicious links. This new patent-pending technology, which will put an end to Phishing attacks, works by disabling all clickable links so that the user has to type in all URLs manually.
Ciekawa koncepcja Ale się nie przyjmie lockoom napisał(a):
LOL
quiris napisał(a):
Hy, hy... To ja jeszcze zaproponuję inną metodę odróżniania brzydkiego adresu od ładnego . W Preferencjach jako font 'Interface dialogs' ustawiamy sobie jakiś nieunikodowy np. MS Sans Serif i wtedy możemy wykorzystać błąd poprzesuwanych liter http://www.operapl.prv.pl/dispfonts.html w operowej technologii podmiany fontów nieunikodowych na unikodowe do wykrywania brzydkich adresów Porównajcie na załączonym obrazku różnicę w sposobie wyświetlania adresów.
IMO wystarczyłoby, żeby w pasku adresu unikodowe litery były boldem - różnica byłaby widoczna na pierwszy rzut oka i "dziura" załatana
ghyyk napisał(a):
co jest do [---]!
co się dzieje z operą? z takim profesjonalnym podejsciem to długo nie pojadą, podobny problem jak z yenc, też im się nie chce; coś tu jest nie tak, mam nadieję jednak, że operowcy mnie nie zawiodą
quiris napisał(a):
co się dzieje z operą? z takim profesjonalnym podejsciem to długo nie pojadą,
bynajmniej nie leci mi piana z ust, ale jestem zdziwiony postawieniem sprawy przez Operę, coż, pozostaje mi ostrożność przy wklepywaniu adresów; na razie Opery nie zamienie, ale jestem coraz bardziej podejrzliwy; pozdrawiam
quiris napisał(a):
ale jestem zdziwiony postawieniem sprawy przez Operę,
I fully agree that we need to minimize the phishing risk of our users.
Może przetłumaczę. Jonny Axelsson z OS ASA powiedział, że w pełni zgadza się, że oni (OS ASA) powinni zminimalizować ryzyko phishingu wśród użytkowników Opery.
coż, pozostaje mi ostrożność przy wklepywaniu adresów;
Jeśli będziesz własnoręcznie wklepywał adresy to wyżej wspomniany rodzaj ryzyka całkowicie ci nie grozi.
ghyyk napisał(a):
>I fully agree that we need to minimize the phishing risk of our users tez sie z tym zgadzam , ale z tego jeszcze nic nie wynika
>Jeśli będziesz własnoręcznie wklepywał adresy to wyżej wspomniany rodzaj ryzyka całkowicie ci nie grozi. a co jeśli wpiszę adres www.źdźbło.pl?
Jakub81 napisał(a):
Nic. Twoje obawy wynikają z niezrozumienia problemu. Po prostu na stronę banku i tym podobne, w których podajesz SZCZEGÓLNIE POUFNE informacje, wchodź jedynie:
- ręcznie wpisując adres - lub przez stworzoną przez siebie zakładkę - lub przez historię
nie wchodź na takie strony:
- klikając link na innej stronie (chyba, że ufasz jej w 100%) - i NIGDY klikając link w otrzymanym e-mailu
I WTEDY NIC CI NIE GROZI
ghyyk napisał(a):
ok, dzięki za odpowiedź, widzę, że zrobili z igły widły, ale przydałoby się coś zrobić z tym nieszczęsnym IDN
Jakub81 napisał(a):
A może w imię ortograficznej poprawności w kilkuset językach poza angielskim?
wojtzuch napisał(a):
Originally posted by Jakub81 A może w imię ortograficznej poprawności w kilkuset językach poza angielskim?
Sorry, niezrozumienie technologii zapewne. Jak rozumiem, nie będzie rejestracji domen z ogonkami?
To nie o to chodzi, że jestem zwolennikiem miłościwego panowania języka wujka Gatesa. Po prostu uważałem, że w protokołach powinno unikać się podobnych komplikacji.
Obawiałem się, że nie braknie problemów, typu witryna BankŚląski.pl należąca do kogoś innego niż witryna BankSlaski.pl. Np. Webopedia COM, NET i ORG to trzy różne rzeczy.
Chyba, że to tylko kwestia tłumaczenia, jeśli np. BankŚląski.pl będzie po prostu tłumaczony na BankSlaski.pl, a domena będzie jedna?
wojtzuch napisał(a):
Originally posted by ghyyk ok, dzięki za odpowiedź, widzę, że zrobili z igły widły, ale przydałoby się coś zrobić z tym nieszczęsnym IDN
Triggered by the latest IDN spoofing issue, Opera Software ASA found other solutions, such as disabling IDN, to only patch the symptoms, not the problem itself. "The real problem is that people go to an evil site and click on links that claim to take them to their bank," says a security analyst. "With SpoofProof(TM), Opera has not only addressed this spesific issue, but they have also solved any future spoofing problems that may arise. Opera is clearly at the forefront of security."
Czyli jednak to konkretna odpowiedź na tę właśnie lukę w IDN?
edit Czy gość w tym dzienniku pisze na serio? Cytuje anonimowego specjalistę... Lol, Opera wyłączyła WWW
Jak dla mnie to mogą spokojnie domyślnie wyłączyć to coś. Póki co i tak bez IE to się nie upowszechni, a do tego czasu zdążą 100 razy zmienić co trzeba.
Zresztą ogonki w adresach... w imię czego? Politycznej poprawności?
edit Jeszcze niżej się poprawiam. Czy IDN to tylko tłumaczenie nazw domen, czy są w planach (są teraz?) oddzielnedomeny z ogonkami? Bo to byłby problem... Ale jeśli to tylko tłumaczenie, to wycofuję się, lokalizować coby wióry leciały :]
lockoom napisał(a):
Domeny ze znakami narodowymi działają odzielnie i zresztą można je już od jakiegoś czasu rejestrować. Moim zdaniem znaki narodowe nic nie zmieniają, tak jak napisałeś - wcześniej też można się było podszywać rejestrująć podobną domenę. Na nieuważnego użytkownika nie ma rady.
michmaj napisał(a):
przecież na adresy typu www.paypaI.com nic się nie da zrobić...
janbar napisał(a):
Nic oprocz dzialan prawnych wlasciciela oryginalnej domeny i liczenia na rozsadek firm hostujacych - oczywiscie nie kazda jest rozsadna.
Pozdrawiam,
janbar.)
Gargamel napisał(a):
Sposób dla użytkowników lokalnego proxy - Privoxy.
Dużo tu wymyślałem i kilka razy edytowałem posta , aż w końcu wpadłem na to, że w wypadku Privoxy z zagrożeniem płynącym (niebezpośrednio) ze strony IDN można sobie poradzić bardzo elegancko .
Na końcu user.action dodać należy...
#blokowanie stron o adresach IDN by Gargamel
{+block}
.xn--*.
Po dodaniu tej linijki Privoxy będzie blokować dostęp do wszelkich stron, których adresy zawierają nie-łacińskie litery. Privoxy umożliwia "obejście" blokady na własne życzenie, poprzez kliknięcie w "go there anyway". A więc jesteśmy ostrzegani o adresie zawierającym nie-łacińskie znaki (Privoxy na stronie z ostrzeżeniem wyświetla nawet adres w "czystej" formie), a jednocześnie możemy zawsze przejść na taką stronę.
Aby blokada sprawdziła się także w przypadku stron z połączeniem SSL, trzeba pamiętać o ustawieniu Privoxy także dla HTTPS (Narzędzia -> Preferencje -> Sieć -> Serwery proxy; adres Privoxy to localhost, a domyślny port 8118).
Gargamel napisał(a):
Podstawione strony! IDN-spoofing
Informacja opublikowana przez CERT Polska Uwaga na phishing poprzez IDN! (...) Wykorzystując mechanizm IDN (International Domain Name) możliwe jest przekierowanie użytkownika na podstawioną stronę WWW, zarówno http, jak i https, niezależnie od używanej przeglądarki. IDN (International Domain Name) jest mechanizmem umożliwiającym istnienie domen ze znakami narodowymi. (...) Wykorzystanie IDN do spoofingu polega na zastąpieniu choćby jednej litery z alfabetu łacińskiego inną, np. z cyrylicy. Przykładowo, link http://www.p?ypal.com/ zostanie w IDN zakodowany jako http://www.xn--pypal-4ve.com/ a wyświetlony jako http://www.paypal.com/. (...) Ważna w tej sytuacji jest możliwość detekcji, czy oglądamy właściwą stronę czy też podstawioną (nazwa domeny zaczynać się będzie w takim przypadku od znaków "xn-").
W Operze 7 rozpoznanie, czy adres strony zawiera znaki narodowe jest utrudnione. Najlepszym sposobem na rozwiązanie problemu wydaje się skorzystanie z dodatkowych programów typu Proxomitron lub Privoxy (są to lokalne proxy). Użytkownicy tych programów przygotowali odpowiednie regułki, blokujące dostęp do stron o adresach IDN (w przypadku Privoxy blokadę można na własne życzenie, w prosty sposób, obejść by jednak załadować żądaną stronę).
Regułka dla Proxomitrona znajduje się tu, a regułka dla Privoxy tutaj.
Czy dobrze rozumiem - problem polega na tym, że można "gdzieś" kliknąć w linka do np. http://www.pаypal.com/ i znaleźć się na stronie udającej właściwią. Czyli nie ma problemu jeżeli sam własnoręcznie wystukam adres strony na którą chcę trafić, albo wybiorę jej adres z zakładek? (Oczywiście strona zapisana w zakładkach została wcześniej sprawdzona) No to o co ten krzyk - strona "ćwiczebna" - i na górnym pasku Opery i na pasku Win mam http://www.p?ypal.com/ Chcę sprawdzić, czy w zakładkach mam stronę banku czy zupełnie inną - otwieram zakładki "Notatnikiem" pamietając, żeby ustawić kodowanie pliku inne niż utf-8.
Szybkie sprawdzanie właśnie otwartej strony - dodaję adres strony do notatek (prawoklik i wybrać z menu albo [F8], [Ctrl]+[Shift]+[C]) i otwieram "Notatnikiem" plik notes.adr - znowu pamiętając o wybraniu kodowania innego niż utf-8 Da się ustawić Operę tak, żeby plik .ADR wyświetlała jak .TXT, nawet przycisk stosowny zrobić się powinno dać zrobić (otwórz notes.adr i ustaw kodowanie win-1250).
Właścicielem użytych w przykładzie adresów www.bron.pl i www.broń.pl jest ta sama firma, obydwa adresy prowadzą do tego samego serwisu
Originally posted by Ryszard Czy dobrze rozumiem - problem polega na tym, że można "gdzieś" kliknąć w linka (...) i znaleźć się na stronie udającej właściwią.
Tak.
Czyli nie ma problemu jeżeli sam własnoręcznie wystukam adres strony na którą chcę trafić, albo wybiorę jej adres z zakładek?
Tak
No to o co ten krzyk
Krzyk jest o to, że na ten przykład ja wolę mieć pewność na jaką stronę wchodzę klikając w linka. Poza tym metoda "na zakładkę" jest w 100% skuteczna, tylko jeśli założyć, że posiadasz w zakładkach wszystkie strony banków i innych tego typu instytucji, które mogą Cię w przyszłości zainteresować. Zwyklę nie staram się zgadywać adresu interesującej mnie instytucji , tylko szukam go przez wyszukiwarki. A to już umożliwia wejście na "fake'a".
I może ktoś powie, że jestem paranoikiem. I ten ktoś może mieć rację... Tylko, że jest mi z tym dobrze. Nigdy nie miałem wirusa, trojana czy innego gościa...
Chcę sprawdzić, czy w zakładkach mam stronę banku czy zupełnie inną - otwieram zakładki "Notatnikiem" pamietając, żeby ustawić kodowanie pliku [itepe itede.. tu długi opis]
No rzeczywiście super szybkie i komfortowe ...
Ja jednak wolę mieć to zautomatyzowane - wchodzę na stronę o adresie IDN i wita mnie ostrzeżenie - mogę je ominąć i stronę załadować, ale mam pewność, że zawsze się w prosty sposób dowiem iż paypal paypalowi nierówny.
W takich przypadkach jak ten problem z IDN-em zdecydowanie wolę rozwiązania niezależne od przeglądarki - nie muszę zmieniać jej czcionek, ani robić żadnych innych tego typu wygibasów.
AbdulMumit napisał(a):
Aby zapobiec atakom przez oszukańcze nazwy domen, zespoły Mozilli i Firefoksa postanowiły domyślnie wyłączyć obsługę IDN w obu przeglądarkach. Równocześnie podkreśliły że problem nie leży w przeglądarce a w polityce firm zajmujących się rejestracją domen.
quiris napisał(a):
Aby zapobiec atakom przez oszukańcze nazwy domen, zespoły Mozilli i Firefoksa postanowiły domyślnie wyłączyć obsługę IDN w obu przeglądarkach.
Tak jak napisałem na forum Mozilli, to jest leczenie bólu głowy przez jej obcięcie. Rozwiązanie żadne. :-/
lazik_s napisał(a):
Tak jak napisałem na forum Mozilli, to jest leczenie bólu głowy przez jej obcięcie. Rozwiązanie żadne. :-/
Tia. Tylko ciekawe, czy ten Kowalski, który o roszerzeniach nie ma pojęcia, znajdzie ten wątek i będzie wiedział, co się z tym robi. Chciałbym to widzieć.
lazik_s napisał(a):
Tia. Tylko ciekawe, czy ten Kowalski, który o roszerzeniach nie ma pojęcia, znajdzie ten wątek i będzie wiedział, co się z tym robi. Chciałbym to widzieć.
Myślałem, że jesteś Bałut? Jak zapyta na forum to pewnie dostanie dopowiedź. BTW pewnie i w plikach konfiguracyjnych użytkownbika także da się coś pogrzebać i to ładnie podświetlić na jakiś kolor i pogrubienie.
quiris napisał(a):
Myślałem, że jesteś Bałut?
No Bałut to na pewno nie jestem :-/ Ale nie wiem, czy rozumiesz. Tu nie chodzi o to, żeby dać fixa zaawansowanym użytkownikom, bo oni i bez fixa uważają, gdzie klikają. Cała sprawa z poprawą bezpieczeństwa przy korzystaniu z IDN to jak dostarczyć jasnych sygnałów zwykłemu użytkownikowi, żeby uważał, gdzie wchodzi. I te rozwiązania muszą znaleźć się w instalce przeglądarki, aktywne.
lazik_s napisał(a):
No dobrze, ale sprawa jest na tyle świeża że na 100% nie wiadomo jak to zostanie rozwiązane. BTW zawsze masz do czynienia ze swoją świadomością. Na 100% osoby co będą chciały korzystać z IDN będą wiedziały czym to grozi/ z czym to się je i czym to można ugryźć by zwiększyć bezpieczeństwo.
ps Ta miała być Błaut, ale to jakoś tak nie po polskiemu i palce wiedziały lepiej co napisać. Myślę że to cię nie obraziło?
sloverx napisał(a):
Originally posted by quiris Hy, hy... To ja jeszcze zaproponuję inną metodę odróżniania brzydkiego adresu od ładnego . W Preferencjach jako font 'Interface dialogs' ustawiamy sobie jakiś nieunikodowy np. MS Sans Serif i wtedy możemy wykorzystać błąd poprzesuwanych liter http://www.operapl.prv.pl/dispfonts.html w operowej technologii podmiany fontów nieunikodowych na unikodowe do wykrywania brzydkich adresów Porównajcie na załączonym obrazku różnicę w sposobie wyświetlania adresów.
Wielkie dzięki @quiris dzięki twojej prostej metodzie problem IDN już dla mnie nie istnieje Z tym że ja jeszcze ustawiłem tą czcionkę w "Interfejs Użytkownika - Paski narzędzi" , dzięki temu nie muszę nawet klikać na podejrzany link , a widze co trzeba na pasku stanu.
quiris napisał(a):
)