Firefox z lekka dziurawy

Grupa Shmoo opublikowała informację o możliwości spoofingu adresów URL i certyfikatów SSL. Chodzi o przekierowywanie użytkowników na podstawione strony internetowe za pomocą mechanizmu IDN (International Domain Name) - i to niezależnie od używanej przeglądarki. Nie są wolne od tej wady także przeglądarki alternatywne - uważane za bezpieczniejsze niż IE.

IDN jest mechanizmem umożliwiającym istnienie domen ze znakami narodowymi. Poszczególne znaki wyrażane są za pomocą Unicode - nowoczesnego sposobu kodowania, obejmującego (oprócz ASCII) także polskie "ogonki", hieroglify, cyrylicę, symbole muzyczne, techniczne, fonetyczne itp.

Każdemu znakowi przypisywany jest niepowtarzalny numer, niezależny od używanego programu czy języka. Dzięki temu informacja o domenie może być wymieniana między standardowymi serwerami DNS. Wykorzystanie IDN do spoofingu polega na zastąpieniu choćby jednej litery z alfabetu łacińskiego inną, np. z cyrylicy. Przykładowo, link http://www.p?ypal.com/ zostanie w IDN zakodowany jako http://www.xn--pypal-4ve.com/ a wyświetlony jako http://www.paypal.com/ Mechanizm IDN jest zaimplementowany praktycznie w każdej popularnej przeglądarce internetowej z wyjątkiem Internet Explorera, do którego dostępne są jednak rozszerzenia. Serwis Secunia.com opisał powyższy problem jako średnio krytyczny i poinformował, że dotyczy on następujących przeglądarek: - Mozilla 1.7.x, Mozilla Firefox 0.x, Mozilla Firefox 1.x - Opera 7.x - Netscape 7.x - Safari 1.x - Konqueror 3.x - OmniWeb 5.x Poza wyłączeniem możliwości korzystania z domen narodowych, obecnie praktycznie nie ma rozwiązania ani obejścia opisanego wyżej problemu. Ważna w tej sytuacji jest możliwość detekcji, czy oglądamy właściwą stronę czy też podstawioną (nazwa domeny zaczynać się będzie w takim przypadku od znaków "xn-"). Można to zrobić przeglądając źródło strony, jej certyfikat bądź kopiując jej adres i wklejając do zwykłego edytora. Najlepszym sposobem na uniknięcie zagrożenia jest, według redaktorów Secunia.com, nie klikanie w linki na stronach, do których mamy ograniczone zaufanie oraz ręczne wprowadzanie adresów URL w pasku adresu przeglądarki.

Reklama

Po upublicznieniu tej informacji przedstawiciele Mozilla.org poinformowali o przesunięciu daty premiery Firefoksa 1.1. Miała ona nastąpić w marcu, jednak stanie sie to w nieokreślonym terminie późniejszym

(źródło: Dziennik Internautów: di.com.pl, opr. A. Wasilewska-Śpioch

INTERIA.PL
Reklama
Reklama
Reklama
Reklama
Reklama