Klatsch, Fakten, News, Betas 5.087 Themen, 27.849 Beiträge

Verfolgung starten Optionen

Mozilla und Firefox...

Soulmann63 / 8 Antworten / Baumansicht Nickles

...schalten Unterstützung für internationalisierte Domains aus.

Die Entwickler der Mozilla-Foundation reagieren auf den jüngst bekannt gewordenen Phishing-Trick mit Internationalized Domain Names (IDN), also beispielsweise Domains mit Umlauten im Namen: In den kommenden Beta-Versionen von Mozilla 1.8 und im geplanten Firefox 1.0.1 wird die IDN-Unterstützung ausgeschaltet. Über ein XPI werden Anwender die IDN-Unterstützung wieder einschalten können, sollen dabei aber deutlich auf die möglichen Gefahren hingewiesen werden. Diese vorläufige Lösung gab Gervase Markham für die Mozilla-Foundation bekannt.
Die Entwickler betonen nochmals, dass das Problem mit den Phishing-Attacken über manipulierte IDNs eigentlich kein Fehler der Browser sei, sondern ein Problem in der IDN-Implementation. Die Schwäche sei seit langem bekannt und es gebe Richtlinien, wie Provider, Registries und Registrare dieses Problem umgehen könnten. Trotzdem aber sehe man sich in der Verantwortung, die User vor solchen Attacken zu schützen, auch wenn die vorläufige Lösung unbefriedigend sei. Man hoffe, IDN-Support in künftigen Versionen wieder einschalten zu können; möglicherweise werde man einen Weg finden, IDNs nur für diese Top Level Domains zu ermöglichen, die sorgfältig mit den IDNs umgingen.

Mit den so genannten "homograph attacks" können Angreifer Anwendern täuschend echt gemachte Seiten im Netz unterjubeln, um Passwörter und Kreditkartennummern zu sammeln. Über ähnlich oder gleich aussehende länderspezifische Zeichen in verschiedenen Zeichensätzen werden die Anwender auf vermeintlich vertrauenswürdige Websites gelenkt, die durch die URL und auch durch die SSL-Zertifikate nicht direkt als gefälscht zu erkennen sind. Dass ähnlich aussehende Zeichen in Domain-Namen einmal Sicherheitsprobleme aufwerfen würden, findet schon im RFC 3492 Erwähnung. Mitte 2002 wiesen zudem zwei israelische Studenten ebenfalls auf dieses Problem hin. Betroffen von dem Problem sind grundsätzlich alle Browser, die IDNs unterstützen -- Microsofts Internet Explorer bietet dies in der Standardinstallation nicht, lässt sich aber durch Plug-ins für IDNs erweitern.

Ein Bericht von heise Security

*_Ihr seit nicht Vergessen G P - Knoeppken _*
bei Antwort benachrichtigen
Olaf19 Soulmann63 „Mozilla und Firefox...“
Optionen

Eins verstehe ich an der ganzen Sache nicht: Mir ist keine einzige vertrauenswürdige Seite im Netz bekannt, die mit Umlauten arbeitet und somit für diesen Phishing-Trick anfällig ist. Wenn ich die Lage richtig einschätze, sind diese Umlautdomains doch wohl mehr ein Gag für private Homepagebetreiber, die unbedingt mit "www.familie-schäfer.de" (statt "schaefer") im Netz vertreten sein möchten, nicht aber für "Handel, Banken und Versicherungen".

Oder einfacher gesagt: Wenn sich ein Kunde bei "www.dresdnerbank.de" einloggt, kann er dem Trick gar nicht zum Opfer fallen, weil diese URL keine Umlaute enthält. Insofern finde ich die Maßnahme, IDNs nicht mehr darzustellen, ein wenig "mit Kanonen auf Spatzen geschossen". Aber davon ab, mir wäre es egal, ich brauche diese Seiten eh nicht.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Zaphod Olaf19 „Ärger mit Ümläüt-Dömäins“
Optionen

... sondern auch um Domainnamen z. B. in kyrillischer, griechischer, hebräischer, indonesischer, chinesischer oder japanischer Schrift. In solchen Kulturen kann nicht unbedingt davon ausgegangen werden, dass lateinische Schrift vom Enduser gelesen werden kann. Damit ist das Problem nicht auf ein paar umgehbare "Sonderzeichen" reduziert :-(. Was in Deutschland eher ein Gag als ein wirkliches Bedürfnis ist, kann in anderen Ländern entscheiden, ob ein Kunde eine Präsenz findet oder nicht ...
Das Problem ist definitiv kein mittel- oder westeuropäisches Problem ...
HTH, Z.

bei Antwort benachrichtigen
Olaf19 Zaphod „Es geht nicht nur um Ümläüt-Dömäins in Deütschländ ...“
Optionen

OK, ich sag's mal etwas anders: Es mag anderswo durchaus ein ernst zu nehmendes Problem sein, nur meine ich, dass deswegen nicht jeder von uns seinen Browser patchen oder updaten muss, damit solche Domains nicht mehr verarbeitet werden können. Wenn solche Meldungen bei Heise oder Nickles gepostet werden, entsteht doch schnell der Eindruck, dass es sich dabei um ein für "uns alle" relevantes Problem handelt.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Soulmann63 Nachtrag zu: „Mozilla und Firefox...“
Optionen

Hallo Olaf19,




wenn Du Zaphods Posting gelesen hast. Lies den Bericht noch mal. Na!?



19?? Ist das dein Geburtsjahr? :-))

*_Ihr seit nicht Vergessen G P - Knoeppken _*
bei Antwort benachrichtigen
Olaf19 Soulmann63 „Hallo Olaf19, wenn Du Zaphods Posting gelesen hast. Lies den Bericht noch mal....“
Optionen

Sorry, ich weiß nicht was du mir damit sagen willst. Fakt ist doch: Solange ich keine "Umlaut-Domains" aufrufe, kann ich diesem Trick nicht zum Opfer fallen. Und ich kenne keine einzige Umlautdomain, die zu besuchen sich lohnt. Dass es in anderen Ländern kyrillische, japanische etc. Domains gibt, die sich mit Umlautdomains faken lassen, ist doch kein Problem das uns unmittelbar angeht.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Soulmann63 Nachtrag zu: „Mozilla und Firefox...“
Optionen

Hallo Olaf,


lies dir mal den Textausschnitt durch, dann sollte es klar werden.

Der ganze Bericht auf heise Security


Im vorliegenden Beispiel ist das erste a in paypal.com in Wirklichkeit ein kyrillsches a (http://www.pаypal.com/). Dezimal 1072 steht in Unicode für das kyrillische a. Der Link führt zu der in Punycode geschriebenen Adresse "http://www.xn--pypal-4ve.com", also nicht zum Internetbezahldienst PayPal. Das SSL-Zertifikat ist ebenfalls für www.xn--pypal-4ve.com ausgestellt und von Usertrust unterschrieben.


Gruß Soulmann
*_Ihr seit nicht Vergessen G P - Knoeppken _*
bei Antwort benachrichtigen
Olaf19 Soulmann63 „Hallo Olaf, lies dir mal den Textausschnitt durch, dann sollte es klar werden....“
Optionen

...ich will ins Bett *g*.

Das kommt davon wenn man mit Triefnase und schwerem Kopf solche Artikel liest. Da habe ich die ganze Zeit gedanklich in die total falsche Richtung geadacht. So herum macht das natürlich Sinn und ist eben nicht nur für Menschen gefährlich, die auf nicht-lateinisch namigen Seiten oder Umlautdomains surfen. Danke für's Nase draufstoßen ;-)

Bloß gut, dass ich diese Tage 'ne gute Ausrede habe (meine Gesundheit...).

CU
Olaf, der den Computer jetzt erstmal besser Computer sein lässt...

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Soulmann63 Olaf19 „Au Mann...“
Optionen
Triefnase und schwerem Kopf

Willkommen im Club! Seit ZEHN Jahren das erste mal daß es mich voll erwischt hat. Aber den ganzen Tag im Bett? Nö – des geht auch nicht. Gute Besserung!


Gruß Soulmann
*_Ihr seit nicht Vergessen G P - Knoeppken _*
bei Antwort benachrichtigen