...schalten Unterstützung für internationalisierte Domains aus.
Die Entwickler der Mozilla-Foundation reagieren auf den jüngst bekannt gewordenen Phishing-Trick mit Internationalized Domain Names (IDN), also beispielsweise Domains mit Umlauten im Namen: In den kommenden Beta-Versionen von Mozilla 1.8 und im geplanten Firefox 1.0.1 wird die IDN-Unterstützung ausgeschaltet. Über ein XPI werden Anwender die IDN-Unterstützung wieder einschalten können, sollen dabei aber deutlich auf die möglichen Gefahren hingewiesen werden. Diese vorläufige Lösung gab Gervase Markham für die Mozilla-Foundation bekannt.
Die Entwickler betonen nochmals, dass das Problem mit den Phishing-Attacken über manipulierte IDNs eigentlich kein Fehler der Browser sei, sondern ein Problem in der IDN-Implementation. Die Schwäche sei seit langem bekannt und es gebe Richtlinien, wie Provider, Registries und Registrare dieses Problem umgehen könnten. Trotzdem aber sehe man sich in der Verantwortung, die User vor solchen Attacken zu schützen, auch wenn die vorläufige Lösung unbefriedigend sei. Man hoffe, IDN-Support in künftigen Versionen wieder einschalten zu können; möglicherweise werde man einen Weg finden, IDNs nur für diese Top Level Domains zu ermöglichen, die sorgfältig mit den IDNs umgingen.
Mit den so genannten "homograph attacks" können Angreifer Anwendern täuschend echt gemachte Seiten im Netz unterjubeln, um Passwörter und Kreditkartennummern zu sammeln. Über ähnlich oder gleich aussehende länderspezifische Zeichen in verschiedenen Zeichensätzen werden die Anwender auf vermeintlich vertrauenswürdige Websites gelenkt, die durch die URL und auch durch die SSL-Zertifikate nicht direkt als gefälscht zu erkennen sind. Dass ähnlich aussehende Zeichen in Domain-Namen einmal Sicherheitsprobleme aufwerfen würden, findet schon im RFC 3492 Erwähnung. Mitte 2002 wiesen zudem zwei israelische Studenten ebenfalls auf dieses Problem hin. Betroffen von dem Problem sind grundsätzlich alle Browser, die IDNs unterstützen -- Microsofts Internet Explorer bietet dies in der Standardinstallation nicht, lässt sich aber durch Plug-ins für IDNs erweitern.
Ein Bericht von heise Security
Klatsch, Fakten, News, Betas 5.087 Themen, 27.849 Beiträge
...ich will ins Bett *g*.
Das kommt davon wenn man mit Triefnase und schwerem Kopf solche Artikel liest. Da habe ich die ganze Zeit gedanklich in die total falsche Richtung geadacht. So herum macht das natürlich Sinn und ist eben nicht nur für Menschen gefährlich, die auf nicht-lateinisch namigen Seiten oder Umlautdomains surfen. Danke für's Nase draufstoßen ;-)
Bloß gut, dass ich diese Tage 'ne gute Ausrede habe (meine Gesundheit...).
CU
Olaf, der den Computer jetzt erstmal besser Computer sein lässt...