Mozilla vypíná podporu národních znaků v doménách

O IDN jsme na Lupě psali již vícekrát, naposledy v souvislosti s jeho odmítnutím ze strany českého registrátora domén CZ.NIC. Ve stručnosti se jedná o způsob, jak do doménových jmen začlenit národní písmena a znaky, v případě češtiny tedy zejména diakritiku. CZ.NIC se však na základě průzkumu mezi uživateli domén (organizací) rozhodl prozatím jeho podporu pro doménu .cz neimplementovat. Samotný princip IDN zde již vysvětlil Pavel Satrapa v článku IDN aneb žluťoučký.kůň.cz a dále Jiří Peterka (Jak fungují háčky a čárky v doménách?). Podstatné pro popis aktuálního problému je, že pro převod národních znaků ze sady Unicode do jejich ASCII podoby se používá přístupu, při kterém dva různé zápisy v Unicode mohou vyústit v překlad do stejného ASCII kódu – tedy do stejného doménového jména.

Tuto „vstřícnost“ systému IDN vůči některým (zejména asijským) jazykům lze však snadno obrátit v jeho slabinu. Pokud totiž dokážeme jedno doménové jméno včetně znaků, jež by jinak byly reprezentovány „čistým“ ASCII kódem (www.paypal.com), zapsat více způsoby (www.paypal.com a www.xn–pypal-4ve.com), nic nám nebrání tu „falešnou“ adresu (www.xn–pypal-4ve.com) použít jako odkaz pro zdánlivě správný cíl (www.paypal.com), ve skutečnosti však vedoucí na úplně jinou IP adresu. Současné prohlížeče, které podporu IDN obsahují, v takovém případě zobrazí v adresním řádku adresu, vzniklou převodem Unicode řetězce na ASCII znaky – tedy www.paypal.com. Uživatel tak snadno může dojít k přesvědčení, že se nachází na adrese svého provozovatele elektronických (mikro)plateb, zatímco však vepisuje své přihlašovací údaje na podvrženou stránku. Těmto podvodům se obecně říká phishing a pro letošní rok se celosvětově očekává značný nárůst počtu jeho obětí.

Výše uvedený problém si pod označením URL spoofing získal zaslouženou pozornost, když se na webu začaly objevovat první demonstrace jeho možného zneužití. Věc nabrala na vážnosti i díky tomu, že stejnou „dírou“ trpí současná interpretace národních znaků i v certifikátech pro domény s podporou IDN. Secunia, respektovaná autorita na poli IT bezpečnosti, vydala 7. února upozornění na tento problém se střední indikací míry nebezpečnosti a o dva dny později i varování pro uživatele pluginu pro Internet Explorer (IE) od VeriSign, že je rovněž zasažen touto hrozbou. Samotný IE však ohrožen není, a to díky tomu, že IDN zatím nemá ve své podpoře. Trochu paradoxně jsou tak jeho uživatelé po dlouhé době kritiky díky slabší výbavě IE více chráněni než uživatelé Mozilly (a Firefoxu).

Produkty z dílny skupiny Mozilla Foundation (Mozilla Suite, Firefox a Thunderbird) jsou totiž kromě Opery, Konqueroru, Safari, Netscapu a OmniWebu mezi těmi, kdo trpí uvedenou dírou. V pondělí pak tento tým sáhl k radikálnímu kroku, když oznámil, že vypne v defaultní konfiguraci nejbližších verzí svých prohlížečů podporu IDN. Uživatelé, kteří budou chtít přesto ve Firefoxu 1.0.1, Mozille Suite 1.8 beta či Mozilla Suite 1.7.6 IDN používat, si budou moci IDN zapnout pomocí dodávaného XPI (patche). Stávající prohlížeče od Mozilla Foundation lze nicméně zabezpečit také, a to nastavením direktivy network.enableIDN na hodnotu false (pro tuto činnost nejprve zadejte about:config do adresního řádku prohlížeče). Zmiňovaný patch pak nedělá nic jiného, než že toto nastavení vrátí na hodnotu true.

„Z dlouhodobého hlediska jde samozřejmě o neuspokojivé řešení a doufáme, že pro Firefox 1.1 budeme moci nabídnout lepší způsob zabezpečení,“ stojí v prohlášení Mozilla Foundation z pondělí 14. února. Tvůrci stále známějšího prohlížeče dále dodávají, že v komunitě vývojářů (i konkurenčních) prohlížečů panuje shoda, že vina je na straně samotného konceptu IDN, který umožňuje registraci homografických variant doménových jmen, a rovněž registrátorů, kteří takové registrace provádějí. Také je často připomínáno, že organizace ICANN, dohlížející na pravidla pro správu domén, vydala doporučení, aby registrátoři tato doménová jména nepřidělovali. Ne všichni se však touto radou řídí.

Z „dotčeného“ tábora však zaznívají i jiné názory, a totiž že řešení Mozilly a jiných vývojářů prohlížečů je ukvapené a „anglocentrické“. Paul Hoffman, jeden z návrhářů systému IDN, například tvrdí, že uvedené postoje vychází z přesvědčení o celkové zbytečnosti a škodlivosti samotné možnosti užívat v doménových jménech národní znaky. Domény s podporou IDN přitom používá řada zemí a miliony uživatelů si již na „svoje“ národní jména na Internetu zvykli, takže jim razantní zásah do možnosti je užívat může přivodit nezanedbatelné potíže. Paul Hoffman místo toho navrhuje, aby se podpora IDN i homografických domén zachovala a prohlížeče aby v případě domén s možností zápisu více znaky zobrazovaly varovné hlášení.

Ať už kauza s homografickou slabinou IDN dopadne jakkoliv, nebude její řešení snadné. Domény s národními znaky si i přes poměrně krátkou dobu své platnosti stihly získat nejednoho národního registrátora a již „vydané“ domény s potenciálně zneužitelným jménem asi nebude možné „vyvlastnit“. Určitou formou ochrany tak budou muset disponovat i prohlížeče a zde je již jen na jejich tvůrcích, jak si s ní poradí – trvalé úplné vypnutí IDN asi není tím nejlepším řešením. Varovná okna mohou být dobrý nápad, ale ruku na srdce, kdo z nás je vždy poctivě čte a dává stoprocentně pozor, kdy a na co kliká? Největším důsledkem podobných situací tak asi zůstane nutnost naučit se na Internetu žít s dalším rizikem, a tomu maximálně přizpůsobit svoje chování. Nakonec, možnosti podvodníků rostou spolu s šířením přístupu k Internetu, a pokud uživatele další varovné okno naučí aspoň mlhavému povědomí o jeho odvrácených stranách, bude to jen dobře.