[ImoLUG] [Fwd: Nuova tecnica di furto password: tabnabbing]
Fabio Fabbri
fabio@llgp.org
Mer 2 Giu 2010 23:03:22 CEST
Il 31/05/2010 21:22, Riccardo Govoni ☢ ha scritto:
> Quanto dici non dovrebbe essere valido solo fintanto che la ICANN non
> permette l'uso di specifici set di caratteri non latini? Vedi ad esempio
> quanto e' stato fatto per l'arabo:
> http://crave.cnet.co.uk/software/0,39029471,49305627,00.htm
>
> Ammetto la mia parziale ignoranza in materia.
>
Per la retrocompatibilità, i nomi di dominio hanno solo 37 caratteri
validi: le lettere da 'a' a 'z', le cifre decimali e il trattino (-).
Sono stati quindi definiti gli "Internazionalized Domain Name" (IDN),
con un algoritmo per convertire i nomi da Unicode ai 37 caratteri
ammessi, e viceversa. Ai domini che contengono caratteri unicode
corrisponde quindi un codice composto dai soli caratteri ammessi,
preceduti da "xn--".
Vedi http://en.wikipedia.org/wiki/Internationalized_domain_name
Poi sta alle applicazioni che supportano gli IDN gestire la cosa,
effettuando le conversioni tra i due formati, e eventualmente mostrare
il dominio usando caratteri unicode. Le applicazioni che non li
supportano potranno comunque usare il formato ascii "xn--..."
Anche i domini di primo livello citati nel link hanno un codice "xn--"
corrispondente.
Come dicevo, per limitare il rischio di scambiare "gmaіl" con "gmail" (e
se vi sembrano uguali sappiate che per la i del primo ho usato il
carattere http://en.wikipedia.org/wiki/%D0%86 ) i browser moderni
adottano varie strategie, ad esempio (mi sono informato meglio) Firefox
ha una whitelist per i domini di primo livello che hanno regole per la
registrazione di domini IDN che eviti gli "omografi" (e .com non è nella
whitelist). Altri invece mostrano il codice xn-- se un dominio contiene
caratteri di alfabeti diversi.
Vedi http://en.wikipedia.org/wiki/IDN_homograph_attack
> Temo che il tuo comportamento sia lontano da quanto intendevo per utente
> comune. Quante persone conosci che cliccano ciecamente un link in una
> email proveniente da un amico, o uno shortened url qualunque su twitter,
> o una finta email di facebook? Io, purtroppo, un bel po'.
>
Purtroppo, spesso, il problema è tra la tastiera e la sedia...
Fabio Fabbri
Maggiori informazioni sulla lista
ImoLUG