Quale rischio pongono i nomi di dominio internazionali (IDN)?

5

Capisco che gli IDN sono fondamentalmente una modifica del display della GUI per i domini che hanno un prefisso "xn -".

Che cosa dovrei consigliare alle aziende per quanto riguarda questi domini?

Ad esempio, le aziende dovrebbero cercare attivamente e registrare domini in set di caratteri alternativi (simili)? Quali strumenti o logica dovrebbero essere seguiti?

Esistono problemi noti di convalida dei certificati?

    
posta random65537 22.11.2010 - 18:28
fonte

2 risposte

4

I più rischiosi sono i cosiddetti attacchi di spoofing IDN che sono possibili a causa di simboli visivamente simili. Questo è un effetto collaterale quando si tenta di introdurre Unicode.

Per quanto riguarda questo argomento, posso consigliare il rapporto tecnico ufficiale del consorzio Unicode: link , intitolato Considerazioni sulla sicurezza Unicode e articolo su Wikipedia: link e alcune letture più interessanti: link .

Inoltre, come addendum: estensione FireFox per proteggerti: link .

    
risposta data 22.11.2010 - 18:44
fonte
3

Ho scritto una piccola serie che spiega qualcosa di più a riguardo qualche anno fa su www.lookout.net/tag/confusables/.

Per rispondere alla tua domanda, non ti suggerirei di consigliare alle aziende di registrare tutte le versioni confondibili dei loro domini - non è pratico o possibile. Quelli che hanno la responsabilità qui sono gli user-agent (browser Web e client di posta elettronica) e i registrar e i registri che potrebbero collaborare per mitigare maggiormente questo problema, ma non ancora completamente. Ho preparato una proposta per questo e ho costretto la mia azienda a creare una biblioteca per assistere gli user-agent o altri fornitori di software nell'individuazione di confusibili e spoofing visivo dell'IDN.

Puoi trovare una descrizione di questa API rilevamento di stringhe confusibili nel nostro sito link e potresti goderti il relativo white paper che contiene alcuni dettagli visivi sul problema.

E come indica Ams, il rapporto tecnico 36 descrive anche il problema.

    
risposta data 01.12.2010 - 21:49
fonte

Leggi altre domande sui tag