Hlavní navigace

Mozilla vypíná podporu národních znaků v doménách

Aleš Miklík 17. 2. 2005

Koncept International domain names (IDN) se sotva stačil uchytit v myslích uživatelů i v praxi registrátorů a již se objevuje první vážná hrozba jeho dalšího šíření. Možnost využití jeho slabiny k podvržení doménového jména vede tvůrce Firefoxu k vypnutí jeho podpory. Chráněni však nejsou ani uživatelé Internet Exploreru a dalších prohlížečů.

O IDN jsme na Lupě psali již vícekrát, naposledy v souvislosti s jeho odmítnutím ze strany českého registrátora domén CZ.NIC. Ve stručnosti se jedná o způsob, jak do doménových jmen začlenit národní písmena a znaky, v případě češtiny tedy zejména diakritiku. CZ.NIC se však na základě průzkumu mezi uživateli domén (organizací) rozhodl prozatím jeho podporu pro doménu .cz neimplementovat. Samotný princip IDN zde již vysvětlil Pavel Satrapa v článku IDN aneb žluťoučký.kůň.cz a dále Jiří Peterka (Jak fungují háčky a čárky v doménách?). Podstatné pro popis aktuálního problému je, že pro převod národních znaků ze sady Unicode do jejich ASCII podoby se používá přístupu, při kterém dva různé zápisy v Unicode mohou vyústit v překlad do stejného ASCII kódu – tedy do stejného doménového jména.

Tuto „vstřícnost“ systému IDN vůči některým (zejména asijským) jazykům lze však snadno obrátit v jeho slabinu. Pokud totiž dokážeme jedno doménové jméno včetně znaků, jež by jinak byly reprezentovány „čistým“ ASCII kódem (www.paypal.com), zapsat více způsoby (www.paypal.com a www.xn–pypal-4ve.com), nic nám nebrání tu „falešnou“ adresu (www.xn–pypal-4ve.com) použít jako odkaz pro zdánlivě správný cíl (www.paypal.com), ve skutečnosti však vedoucí na úplně jinou IP adresu. Současné prohlížeče, které podporu IDN obsahují, v takovém případě zobrazí v adresním řádku adresu, vzniklou převodem Unicode řetězce na ASCII znaky – tedy www.paypal.com. Uživatel tak snadno může dojít k přesvědčení, že se nachází na adrese svého provozovatele elektronických (mikro)plateb, zatímco však vepisuje své přihlašovací údaje na podvrženou stránku. Těmto podvodům se obecně říká phishing a pro letošní rok se celosvětově očekává značný nárůst počtu jeho obětí.

Výše uvedený problém si pod označením URL spoofing získal zaslouženou pozornost, když se na webu začaly objevovat první demonstrace jeho možného zneužití. Věc nabrala na vážnosti i díky tomu, že stejnou „dírou“ trpí současná interpretace národních znaků i v certifikátech pro domény s podporou IDN. Secunia, respektovaná autorita na poli IT bezpečnosti, vydala 7. února upozornění na tento problém se střední indikací míry nebezpečnosti a o dva dny později i varování pro uživatele pluginu pro Internet Explorer (IE) od VeriSign, že je rovněž zasažen touto hrozbou. Samotný IE však ohrožen není, a to díky tomu, že IDN zatím nemá ve své podpoře. Trochu paradoxně jsou tak jeho uživatelé po dlouhé době kritiky díky slabší výbavě IE více chráněni než uživatelé Mozilly (a Firefoxu).

Produkty z dílny skupiny Mozilla Foundation (Mozilla Suite, Firefox a Thunderbird) jsou totiž kromě Opery, Konqueroru, Safari, Netscapu a OmniWebu mezi těmi, kdo trpí uvedenou dírou. V pondělí pak tento tým sáhl k radikálnímu kroku, když oznámil, že vypne v defaultní konfiguraci nejbližších verzí svých prohlížečů podporu IDN. Uživatelé, kteří budou chtít přesto ve Firefoxu 1.0.1, Mozille Suite 1.8 beta či Mozilla Suite 1.7.6 IDN používat, si budou moci IDN zapnout pomocí dodávaného XPI (patche). Stávající prohlížeče od Mozilla Foundation lze nicméně zabezpečit také, a to nastavením direktivy network.enableIDN na hodnotu false (pro tuto činnost nejprve zadejte about:config do adresního řádku prohlížeče). Zmiňovaný patch pak nedělá nic jiného, než že toto nastavení vrátí na hodnotu true.

„Z dlouhodobého hlediska jde samozřejmě o neuspokojivé řešení a doufáme, že pro Firefox 1.1 budeme moci nabídnout lepší způsob zabezpečení,“ stojí v prohlášení Mozilla Foundation z pondělí 14. února. Tvůrci stále známějšího prohlížeče dále dodávají, že v komunitě vývojářů (i konkurenčních) prohlížečů panuje shoda, že vina je na straně samotného konceptu IDN, který umožňuje registraci homografických variant doménových jmen, a rovněž registrátorů, kteří takové registrace provádějí. Také je často připomínáno, že organizace ICANN, dohlížející na pravidla pro správu domén, vydala doporučení, aby registrátoři tato doménová jména nepřidělovali. Ne všichni se však touto radou řídí.

Z „dotčeného“ tábora však zaznívají i jiné názory, a totiž že řešení Mozilly a jiných vývojářů prohlížečů je ukvapené a „anglocentrické“. Paul Hoffman, jeden z návrhářů systému IDN, například tvrdí, že uvedené postoje vychází z přesvědčení o celkové zbytečnosti a škodlivosti samotné možnosti užívat v doménových jménech národní znaky. Domény s podporou IDN přitom používá řada zemí a miliony uživatelů si již na „svoje“ národní jména na Internetu zvykli, takže jim razantní zásah do možnosti je užívat může přivodit nezanedbatelné potíže. Paul Hoffman místo toho navrhuje, aby se podpora IDN i homografických domén zachovala a prohlížeče aby v případě domén s možností zápisu více znaky zobrazovaly varovné hlášení.

Ať už kauza s homografickou slabinou IDN dopadne jakkoliv, nebude její řešení snadné. Domény s národními znaky si i přes poměrně krátkou dobu své platnosti stihly získat nejednoho národního registrátora a již „vydané“ domény s potenciálně zneužitelným jménem asi nebude možné „vyvlastnit“. Určitou formou ochrany tak budou muset disponovat i prohlížeče a zde je již jen na jejich tvůrcích, jak si s ní poradí – trvalé úplné vypnutí IDN asi není tím nejlepším řešením. Varovná okna mohou být dobrý nápad, ale ruku na srdce, kdo z nás je vždy poctivě čte a dává stoprocentně pozor, kdy a na co kliká? Největším důsledkem podobných situací tak asi zůstane nutnost naučit se na Internetu žít s dalším rizikem, a tomu maximálně přizpůsobit svoje chování. Nakonec, možnosti podvodníků rostou spolu s šířením přístupu k Internetu, a pokud uživatele další varovné okno naučí aspoň mlhavému povědomí o jeho odvrácených stranách, bude to jen dobře.

Anketa

Navštěvujete cizí domény s podporou národních znaků?

Našli jste v článku chybu?

22. 2. 2005 19:13

Tom Tobula (neregistrovaný)
Tento článek je pln hrubých faktických omylů!

1) Není pravda, že se provádí konverze z Unicode do ASCII. Browser provádí konverzi z toho kódování znaků které platforma podporuje (např. Windows-1250 nebo UTF-8), a ne do ASCII, ale do posloupnosti podle IDN, jejíž jednotlivé prvky jsou členy nějakého subsetu z ASCII. Polehčující okolnost je, že v mezikroku mít kódování v Unicode bude, protože z něj je transormace do IDN definována.

2) Není tedy ani pravda, že konverze jednoho zápisu v Unicod…



22. 2. 2005 10:50

King (neregistrovaný)
Moje gentoo si stim poradi hrave.
Vitalia.cz: Jak vybrat ořechy do cukroví a kde mají levné

Jak vybrat ořechy do cukroví a kde mají levné

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: Italové dělají mozzarellu z mléka z Česka

Italové dělají mozzarellu z mléka z Česka

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU