LINUX.ORG.RU

Подмен адреса в Mozilla


0

0

Серъезная проблема обнаружена в Mozilla, Opera & Safari:

"International Domain Name [IDN] support in modern browsers allows attackers to spoof domain name URLs + SSL certs."

А тут можно проверить (в ИЕ не работает):

http://www.shmoo.com/idn/

Исправление:

about:config -> network.enableIDN

P.S: Мне очень понравилось, как работает линк на paypal.com :)

>>> Подробности

>about:config -> network.enableIDN

Сделал false - разницы не заметил

Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.7.5) Gecko/20041108 Firefox/1.0

fagot ★★★★★
()

LYNX неуязвим!

Он сразу показывает левый код в ссылке (User Mode = Advanced). и перейти по нему не дает - incorrect request.

LYNX FOREVER!!!

А в Firefox обманывается даже plugin - spoofstick :-(

anonymous
()

подмена

А как с этим бороться вообще? Тут или разрешать интернациональные адреса или запретить, иначе в разных кодировках похожих символов вообще говоря неограниченное количество.

BigSerpent ★★
()
Ответ на: комментарий от fagot

> Сделал false - разницы не заметил

У меня после исправления FireFox пишет про неправильный URL

anonymous
()

Непонятно только, причем здесь мозилла?

Ежели в IE таки прикрутить поддержку idn - такая же фигня будет. Ну и что?

Еще есть офигенная уязвимость, которой все браузеры подвержены. Достаточно зайти на yndex.ru. Ужос! Жидомассонский заговор!

fearan
()
Ответ на: подмена от BigSerpent

Бороться вообще - там написано как. Во-первых, все денежные дела делать через ssl; во-вторых, когда пришёл на ssl-сайт, внимательно смотреть глазами на описание сертификата - там должно быть видно, настоящий url или левый.

anonymous
()
Ответ на: комментарий от fagot

> Сделал false - разницы не заметил

> Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.7.5) Gecko/20041108 Firefox/1.0

А я сделал false и разницу заметил

Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.5) Gecko/20041107 Firefox/1.0

Vond ★★
()
Ответ на: комментарий от anonymous

Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.5) Gecko/20041107 Firefox/1.0

после исправления работает как работало.. везде заходит.. ..неужели Билли и здесь подфартил=)

cheesee
()

Красиво. По моему, по сути, даже к Mozilla и придираться не стоит. Она-то правильно переходит на ссылку с IDN. Такой спуфиг больше похож на социальную инженерию, а не на недостаток технологии.

moonflyer
()
Ответ на: подмена от BigSerpent

Я считаю, что при переходе по такой ссылке, браузер должен вывести окно - внимание, интернационал, присутствуют символы таких-то кодировок и пр. Имхо, верное решение.

anonymous
()

WindowsUser, а "Подмен" - это на каком языке? А "СерЪезная"? Ви есть плёхо говорить/писать по рюсски? Или это Вас так колбасит с утра на радостях? :)

yozhhh ★★★
()
Ответ на: комментарий от anonymous

>Я считаю, что при переходе по такой ссылке, браузер должен вывести окно - внимание, интернационал

патч пиши =)

WerNA ★★★★★
()
Ответ на: комментарий от anonymous

>Бороться вообще - там написано как. Во-первых, все денежные дела делать через ssl

Для "неденежных" сайтов подмена тоже может быть нежелательна (мягко говоря). Что же теперь, весь веб на ssl переводить?

anonymous
()
Ответ на: комментарий от anonymous

> Я считаю, что при переходе по такой ссылке, браузер должен вывести окно - внимание, интернационал, присутствуют символы таких-то кодировок и пр. Имхо, верное решение.

IMHO - очень дубовое. Когда таких урлов появится много (а это произойдёт) юзеры задолбаются нажимать OK и просто забьют на мозиллу. В лучшем случае - символ в строке статуса. Но на него тоже никто смотреть не будет.

Кстати, notepad этому тоже не подвержен. И вообще многим уязвимостям не подвержен -> notepad - отличный браузер!

yozhhh ★★★
()

А как в konqueror это отключить ?-)

anonymous
()
Ответ на: комментарий от yozhhh

> IMHO - очень дубовое. Когда таких урлов появится много (а это произойдёт) юзеры задолбаются нажимать OK и просто забьют на мозиллу. В лучшем случае - символ в строке статуса. Но на него тоже никто смотреть не будет.

Сейчас-то их немного, поэтому такое решение актуально. А если их будет много, у меня есть ещё одна идея - в адресной строке буквы URL'а в разных кодировках выделять разными цветами и выдавать хотя бы одно предупреждение с возможностью его отключить.

anonymous
()
Ответ на: комментарий от annoynimous

> А что быть-то должно? У меня пишет про неверный URL

Браузер должен перейти по ссылке, некоторые буквы в которой неанлгл. Если пишет про неверный URL, то либо браузер не поддерживает интернациональные адреса (например, www.россия.ru), либо такая ф-ция отключена.

anonymous
()
Ответ на: комментарий от anonymous

> у меня есть ещё одна идея - в адресной строке буквы URL'а в разных кодировках > выделять разными цветами

Общество Защиты Прав Дальтоников порвет таких программеров на части. Знаете как на западе строго с дискриминацией?

anonymous
()
Ответ на: комментарий от anonymous

вариант. - такое имя не поддерживает прокси.

AVL2 ★★★★★
()

Самое интересное, что в этом случае код страницы невозможно просмотреть.

anonymous
()

Глупая шутка, а точнее наглое враньё. Konqueror говорит:
Ошибка при загрузке http:/:


Имя узла не указано.

asaw ★★★★★
()
Ответ на: комментарий от anonymous

> Сейчас-то их немного, поэтому такое решение актуально. А если их будет много, у меня есть ещё одна идея - в адресной строке буквы URL'а в разных кодировках выделять разными цветами и выдавать хотя бы одно предупреждение с возможностью его отключить.

Скорее, имело бы смысл предупреждать, если имя домена (одного уровня) содержит символы из разных кодировок. Если из одной кодировки - не надо никаких предупреждений.

yozhhh ★★★
()
Ответ на: комментарий от yozhhh

> IMHO - очень дубовое. Когда таких урлов появится много (а это произойдёт) юзеры задолбаются нажимать OK и просто забьют на мозиллу. В лучшем случае - символ в строке статуса. Но на него тоже никто смотреть не будет.

И ещё. Речь идёт о похожих буквах разных кодировок в _одном_ адресе. Это явная попытка мошенничества, поэтому можно вообще всю строку адреса красным выделять.

> Общество Защиты Прав Дальтоников порвет таких программеров на части. Знаете как на западе строго с дискриминацией?

Для них должны быть специальные браузеры, имхо.

anonymous
()
Ответ на: комментарий от yozhhh

> Скорее, имело бы смысл предупреждать, если имя домена (одного уровня) содержит символы из разных кодировок. Если из одной кодировки - не надо никаких предупреждений.

Я это и имел ввиду, безусловно. Выдавать предупреждение на такие адреса, как www.россия.ru не имеет смысла.

anonymous
()
Ответ на: комментарий от anonymous

> Я это и имел ввиду, безусловно. Выдавать предупреждение на такие адреса, как www.россия.ru не имеет смысла.

К сожалению, ламеры сообщений не читают. Они просто жмут "yes", а потом громко и визгливо кричат.

yozhhh ★★★
()
Ответ на: комментарий от asaw

>Глупая шутка, а точнее наглое враньё. Konqueror говорит: >Ошибка при загрузке http:/: Не вранье. У меня нормально заходит, никаких ошибок.

anonymous
()

люди вы о чем?

Во время доставки URL: http://%77%77%77%2E%70%D0%B0%79%70%61%6C%2E%63%6F%6D/ Произошла следующая ошибка: * Неправильный URL

p.s.: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.0.0) Gecko/20020610

anonymous
()
Ответ на: комментарий от yozhhh

> К сожалению, ламеры сообщений не читают. Они просто жмут "yes", а потом громко и визгливо кричат.

Тогда это их проблемы, а не программы.

anonymous
()

А если предупреждений не было - недоработка и виноваты разработчики, имхо.

anonymous
()

Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.7.5) Gecko/20041108 Firefox/1.0

А в этом говорит, что левая ссылка :)

fagot ★★★★★
()

ОФТОП
---

К WindowsUser.

Не знаете, случайно, аналога KTimemon (три полоски, сидящие в трее, показывающее загрузку ЦПУ, памяти, подкачки) для Win XP? Очень нужно.
---

anonymous
()
Ответ на: комментарий от anonymous

Я это к тому, что Konqueror, Mozilla и пр. в этом плане работают ничуть не хуже IE, который адреса типа http://россия.ru вообще не воспринимает (w2k3 rus).

asaw ★★★★★
()
Ответ на: комментарий от asaw

у вас вероятно конкуерор без поддержки idn :)
у меня kde 3.3.2
всё прекрасно работает

anonymous
()
Ответ на: комментарий от anonymous

> Общество Защиты Прав Дальтоников порвет таких программеров на части. Знаете как на западе строго с дискриминацией?

Пусть пишут свой плагин ...

anonymous
()
Ответ на: комментарий от yozhhh

Для тех кто на бульдозере.

В Mурzilla или в F/F:

Help -> About Mozilla
далее в адресной строке после появившегося about:

вводим слово config и жмем ввод

далее листаем вниз до букв network.enableIDN и на этом месте
либо два раза кликаем мышко или нажимаем на кнопку ввод

в результате этот очень труднной операции true меняется на false

anonymous
()
Ответ на: комментарий от yozhhh

> > Я считаю, что при переходе по такой ссылке, браузер должен вывести окно - внимание, интернационал, присутствуют символы таких-то кодировок и пр. Имхо, верное решение.

> IMHO - очень дубовое. Когда таких урлов появится много (а это произойдёт) юзеры задолбаются нажимать OK и просто забьют на мозиллу. В лучшем случае - символ в строке статуса. Но на него тоже никто смотреть не будет.

ОК, тогда сделать список адресов, для которых такое окошко выводить не надо и возможность добавлять туда свои любимые адреса. как это сделано с установкой програм, блокированием всплывающих окон и т.д.

Чем это решение плохо? Если оставить вообще без предупреждения, то опасная получается вещь.

Может курсивом выделять?

anonymous
()
Ответ на: комментарий от anonymous

подмена

Действительно, указывать интернациональные символы в строке адреса красным цветом. И дать возможность настраивать этот цвет пользователю.

BigSerpent ★★
()

Это типа значит что ИЕ не может работать с частичнорусскими именами доменов? странно. хотя соглашусь мне не надобилось =). А различить можно легко - ставишь соотв шрифт в котором русские и английские буквы отличаются. например HanucoBaииыu какими нибудь китайцами =)

Adjkru ★★★★★
()
Ответ на: комментарий от yozhhh

> yozhhh (*) (08.02.2005 12:18:20) > а "Подмен"...

хехе... начало уже сказываться. У меня и в мыслях не было подумать, что "подмен" женского рода. Англо+немецкоязычная среда...

WindowsUser ★★
() автор топика
Ответ на: подмена от BigSerpent

Лучше как в gedit --- размером шрифта.

dn2010 ★★★★★
()

Прикольно :-)
Самый надёжный способ защиты - не заходить по ссылкам с левых сайтов или ещё лучше - вбивать адрес самому :-)

unDEFER ★★★★★
()
Ответ на: комментарий от unDEFER

> Самый надёжный способ защиты - не заходить по ссылкам с левых сайтов или ещё лучше - вбивать адрес самому :-)

А ещё лучше - не доверять всяким DNS и вбивать сразу IP :)

yozhhh ★★★
()
Ответ на: комментарий от anonymous

>Я считаю, что при переходе по такой ссылке, браузер должен вывести окно - внимание, интернационал.

Окно - это плоско, банально. Нет, браузер должен запеть. "Весь мир насилья мы разрушим до основанья, а затем..."

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.