[ImoLUG] [Fwd: Nuova tecnica di furto password: tabnabbing]

Riccardo Govoni ☢ battlehorse@gmail.com
Gio 3 Giu 2010 00:27:34 CEST 

Chiarissimo. Avevo decisamente fatto un po' di papocchio mentale nelle
precedenti mail.

/R.

2010/6/2 Fabio Fabbri <fabio@llgp.org>

> Il 31/05/2010 21:22, Riccardo Govoni ☢ ha scritto:
>
>  Quanto dici non dovrebbe essere valido solo fintanto che la ICANN non
>> permette l'uso di specifici set di caratteri non latini? Vedi ad esempio
>> quanto e' stato fatto per l'arabo:
>> http://crave.cnet.co.uk/software/0,39029471,49305627,00.htm
>>
>> Ammetto la mia parziale ignoranza in materia.
>>
>>
> Per la retrocompatibilità, i nomi di dominio hanno solo 37 caratteri
> validi: le lettere da 'a' a 'z', le cifre decimali e il trattino (-).
>
> Sono stati quindi definiti gli "Internazionalized Domain Name" (IDN), con
> un algoritmo per convertire i nomi da Unicode ai 37 caratteri ammessi, e
> viceversa. Ai domini che contengono caratteri unicode corrisponde quindi un
> codice composto dai soli caratteri ammessi, preceduti da "xn--".
>
> Vedi http://en.wikipedia.org/wiki/Internationalized_domain_name
>
> Poi sta alle applicazioni che supportano gli IDN gestire la cosa,
> effettuando le conversioni tra i due formati, e eventualmente mostrare il
> dominio usando caratteri unicode. Le applicazioni che non li supportano
> potranno comunque usare il formato ascii "xn--..."
>
> Anche i domini di primo livello citati nel link hanno un codice "xn--"
> corrispondente.
>
> Come dicevo, per limitare il rischio di scambiare "gmaіl" con "gmail" (e se
> vi sembrano uguali sappiate che per la i del primo ho usato il carattere
> http://en.wikipedia.org/wiki/%D0%86 ) i browser moderni adottano varie
> strategie, ad esempio (mi sono informato meglio) Firefox ha una whitelist
> per i domini di primo livello che hanno regole per la registrazione di
> domini IDN che eviti gli "omografi" (e .com non è nella whitelist). Altri
> invece mostrano il codice xn-- se un dominio contiene caratteri di alfabeti
> diversi.
>
> Vedi http://en.wikipedia.org/wiki/IDN_homograph_attack
>
>
>
>  Temo che il tuo comportamento sia lontano da quanto intendevo per utente
>> comune. Quante persone conosci che cliccano ciecamente un link in una
>> email proveniente da un amico, o uno shortened url qualunque su twitter,
>> o una finta email di facebook? Io, purtroppo, un bel po'.
>>
>>
> Purtroppo, spesso, il problema è tra la tastiera e la sedia...
>
> Fabio Fabbri
>
> _______________________________________________
> ImoLUG mailing list
> imolug@lists.linux.it
> http://lists.linux.it/listinfo/imolug
> Connettivita' offerta da Waymedia - http://www.waymedia.it/
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20100602/92125842/attachment.htm>

Maggiori informazioni sulla lista ImoLUG