Комментарии 25
НЛО прилетело и опубликовало эту надпись здесь
Чисто для справки: все остальные домены с сочетаниями разных алфавитов Firefox отображает как punycode.
Вот банкам «повезло» :)
http://onlinebankingreport.com/resources/100.html
и вперёд :)
P.S. «Сайт» Bank Of America уже занят.
и вперёд :)
P.S. «Сайт» Bank Of America уже занят.
Что же вы в выходной день опубликовали, тут сейчас нет никого.
А тема очень интересная. Хотелось бы, чтобы о ней узнало больше людей.
Если ValdikSS выше прав, то неплохо бы написать об этом разработчикам FF.
А тема очень интересная. Хотелось бы, чтобы о ней узнало больше людей.
Если ValdikSS выше прав, то неплохо бы написать об этом разработчикам FF.
dartraiden
Привет. Касаемо бага с punicode (https://habrahabr.ru/post/279113/) я завёл тикет, если вдруг что (https://bugzilla.mozilla.org/show_bug.cgi?id=1256009)
В качестве защитной меры стоит включить опцию network.IDN_show_punycode, чтобы всегда показывать любые адреса с нелатиницей в punicode
На хабре комментировать не могу, увы :(
Спустя два года, баг исправлен. Так долго тянули, потому что хотели решить вопрос через технический комитет Unicode (добавить этот символ в категорию «исторических»), но те, при выпуске очередной редакции стандарта, об этом забыли, поэтому проблемный символ просто добавили в стоп-лист Firefox.
Интересно, через сколько часов зарегистрируют OΚ.ru...
https://en.wikipedia.org/wiki/IDN_homograph_attack
Почему только этот символ, а не множество других?
Таким образом, существует угроза использования доменных имен с подменой буквы “k” на “ĸ” и мне кажется что этот символ должен быть удален из таблицы латинских символов и не должен допускаться для регистрации доменных имен.
Почему только этот символ, а не множество других?
Вероятно потому, что:
Для избежания таких колизий существуют таблицы национальных алфавитов, которые содержат допустимые для регистрации домена символы. Благодаря этим таблицам, если домен содержит кириллицу, то он уже не может содержать латиницу. Таким образом у вас не получится зарегистрировать еще один twittеr.Для символа «ĸ» это не работает.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Полезное наблюдение. Надеюсь, мошенники не догадаются об этом, так как по такой ссылке в скайпе я и сам кликнул бы.
Я осознаю, что комментарий оставлен совершенно не к месту и извиняюсь за это. Удалить или что-либо сделать с ним не могу и так, как этот комментарий аукается мне по сей день, огромная просьба последующим читателям не осуществлять каких-либо негативных действий в моем отношении.
Надеюсь на понимание и извиняюсь за данный пост. Спасибо!
Надеюсь на понимание и извиняюсь за данный пост. Спасибо!
Интересная заметка, которая рождает много вопросов =)
Например, зачем вообще была оставлена такая возможность (смешивать символы)? Каким образом происходят преобразования таких доменов в браузерах?
И проблема несколько шире. Оказывается, есть целый блок символов — https://en.wikipedia.org/wiki/Latin_Extended-A, которые, как я понимаю, можно смешивать с латинскими символами в DN.
Например, зачем вообще была оставлена такая возможность (смешивать символы)? Каким образом происходят преобразования таких доменов в браузерах?
И проблема несколько шире. Оказывается, есть целый блок символов — https://en.wikipedia.org/wiki/Latin_Extended-A, которые, как я понимаю, можно смешивать с латинскими символами в DN.
Например, зачем вообще была оставлена такая возможность (смешивать символы)?
http://unicode.org/mail-arch/unicode-ml/y2005-m02/0110.html
В Firefox можно включить Юникод-имена только в доменных зонах из «белого списка», для остальных зон будет отображаться Punicode:
1) Зайти в настройки ФФ (по адресу «about:config»).
2) Установить «network.IDN.restriction_profile» = «strict» (на всякий случай, по умолчанию там «moderate»).
3) «network.IDN.use_whitelist» = «true».
4) Список доменных зон находится в ключах «network.IDN.whitelist.имя_зоны».
— Для зон, где нужен Юникод (например, ".РФ" = «network.IDN.whitelist.xn--p1ai»), поставить «true».
— Если нужно отсечь нелатинские символы (например, в зоне ".com" = «network.IDN.whitelist.com»), поставить «false» – там национальные символы будут выводиться в формате Punicode.
1) Зайти в настройки ФФ (по адресу «about:config»).
2) Установить «network.IDN.restriction_profile» = «strict» (на всякий случай, по умолчанию там «moderate»).
3) «network.IDN.use_whitelist» = «true».
4) Список доменных зон находится в ключах «network.IDN.whitelist.имя_зоны».
— Для зон, где нужен Юникод (например, ".РФ" = «network.IDN.whitelist.xn--p1ai»), поставить «true».
— Если нужно отсечь нелатинские символы (например, в зоне ".com" = «network.IDN.whitelist.com»), поставить «false» – там национальные символы будут выводиться в формате Punicode.
Имхо, но турецкие İ/ı выглядят привлекательней https://en.wikipedia.org/wiki/Dotted_and_dotless_I
http://xn--twitter-8he.com/ — в FF вообще не отлечить от реального twitter.com
http://xn--twitter-8he.com/ — в FF вообще не отлечить от реального twitter.com
Действительно, несмотря на то, что в исходной статье автор говорит о символе ĸ, разрешенных к смешиванию намного больше. Вот из интересного:
https://en.wikipedia.org/wiki/Latin_Extended-A
https://en.wikipedia.org/wiki/Latin_Extended-B
https://en.wikipedia.org/wiki/Latin_Extended-C
https://en.wikipedia.org/wiki/Latin_Extended_Additional
Из которых можно составить такие красивые вещи, как:
ɢoogle.com
yanďex.com
twſtter.com
tŵitter.com
ţwitter.com
twitťer.com
twįtter.com
yăhoo.com
ŷahoo.com
yąhoo.com
yaĥoo.com
yahŏo.com
fļickr.com
flįckr.com
flīckr.com
ďropbox.com
dŕopbox.com
dřopbox.com
drŏpbox.com
И тп. На всякий случай замечу, что ВСЕ вышеперечисленные компании были проинформированы о такой возможности с вот этим вот списком доменов, и все в лучшем случае заявили, что принимают эти риски, а в худшем — что я вообще ерунду какую-то им пишу, что ничего тут опасного и что им теперь — скупить все комбинации, типа twitter.xyz, чтоли?
Так что, смело разбирайте, кому интересно. На godaddy видел акцию скидок на домены на 1 год, там можно зарегать домены с такими символами =)
https://en.wikipedia.org/wiki/Latin_Extended-A
https://en.wikipedia.org/wiki/Latin_Extended-B
https://en.wikipedia.org/wiki/Latin_Extended-C
https://en.wikipedia.org/wiki/Latin_Extended_Additional
Из которых можно составить такие красивые вещи, как:
ɢoogle.com
yanďex.com
twſtter.com
tŵitter.com
ţwitter.com
twitťer.com
twįtter.com
yăhoo.com
ŷahoo.com
yąhoo.com
yaĥoo.com
yahŏo.com
fļickr.com
flįckr.com
flīckr.com
ďropbox.com
dŕopbox.com
dřopbox.com
drŏpbox.com
И тп. На всякий случай замечу, что ВСЕ вышеперечисленные компании были проинформированы о такой возможности с вот этим вот списком доменов, и все в лучшем случае заявили, что принимают эти риски, а в худшем — что я вообще ерунду какую-то им пишу, что ничего тут опасного и что им теперь — скупить все комбинации, типа twitter.xyz, чтоли?
Так что, смело разбирайте, кому интересно. На godaddy видел акцию скидок на домены на 1 год, там можно зарегать домены с такими символами =)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Наблюдение об интернационализованных доменных именах и букве K