[ImoLUG] [Fwd: Nuova tecnica di furto password: tabnabbing]

Fabio Fabbri fabio@llgp.org
Mer 2 Giu 2010 23:03:22 CEST 

Il 31/05/2010 21:22, Riccardo Govoni ☢ ha scritto:
> Quanto dici non dovrebbe essere valido solo fintanto che la ICANN non
> permette l'uso di specifici set di caratteri non latini? Vedi ad esempio
> quanto e' stato fatto per l'arabo:
> http://crave.cnet.co.uk/software/0,39029471,49305627,00.htm
>
> Ammetto la mia parziale ignoranza in materia.
>

Per la retrocompatibilità, i nomi di dominio hanno solo 37 caratteri 
validi: le lettere da 'a' a 'z', le cifre decimali e il trattino (-).

Sono stati quindi definiti gli "Internazionalized Domain Name" (IDN), 
con un algoritmo per convertire i nomi da Unicode ai 37 caratteri 
ammessi, e viceversa. Ai domini che contengono caratteri unicode 
corrisponde quindi un codice composto dai soli caratteri ammessi, 
preceduti da "xn--".

Vedi http://en.wikipedia.org/wiki/Internationalized_domain_name

Poi sta alle applicazioni che supportano gli IDN gestire la cosa, 
effettuando le conversioni tra i due formati, e eventualmente mostrare 
il dominio usando caratteri unicode. Le applicazioni che non li 
supportano potranno comunque usare il formato ascii "xn--..."

Anche i domini di primo livello citati nel link hanno un codice "xn--" 
corrispondente.

Come dicevo, per limitare il rischio di scambiare "gmaіl" con "gmail" (e 
se vi sembrano uguali sappiate che per la i del primo ho usato il 
carattere http://en.wikipedia.org/wiki/%D0%86 ) i browser moderni 
adottano varie strategie, ad esempio (mi sono informato meglio) Firefox 
ha una whitelist per i domini di primo livello che hanno regole per la 
registrazione di domini IDN che eviti gli "omografi" (e .com non è nella 
whitelist). Altri invece mostrano il codice xn-- se un dominio contiene 
caratteri di alfabeti diversi.

Vedi http://en.wikipedia.org/wiki/IDN_homograph_attack


> Temo che il tuo comportamento sia lontano da quanto intendevo per utente
> comune. Quante persone conosci che cliccano ciecamente un link in una
> email proveniente da un amico, o uno shortened url qualunque su twitter,
> o una finta email di facebook? Io, purtroppo, un bel po'.
>

Purtroppo, spesso, il problema è tra la tastiera e la sedia...

Fabio Fabbri

Maggiori informazioni sulla lista ImoLUG