LINUX.ORG.RU
 

Подмен адреса в Mozilla


0

0

Серъезная проблема обнаружена в Mozilla, Opera & Safari:

"International Domain Name [IDN] support in modern browsers allows attackers to spoof domain name URLs + SSL certs."

А тут можно проверить (в ИЕ не работает):

http://www.shmoo.com/idn/

Исправление:

about:config -> network.enableIDN

P.S: Мне очень понравилось, как работает линк на paypal.com :)

>>> Подробности


1 2
[#]  
fagot

Re: Подмен адреса в Mozilla

>about:config -> network.enableIDN

Сделал false - разницы не заметил

Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.7.5) Gecko/20041108 Firefox/1.0

***** ()
[#]  

Re: Подмен адреса в Mozilla

LYNX неуязвим!

Он сразу показывает левый код в ссылке (User Mode = Advanced). и перейти по нему не дает - incorrect request.

LYNX FOREVER!!!

А в Firefox обманывается даже plugin - spoofstick :-(

anonymous ()
[#]  

подмена

А как с этим бороться вообще? Тут или разрешать интернациональные адреса или запретить, иначе в разных кодировках похожих символов вообще говоря неограниченное количество.

** ()
[#] Ответ на: Re: Подмен адреса в Mozilla от fagot 08.02.2005 11:20:24  

Re: Подмен адреса в Mozilla

> Сделал false - разницы не заметил

У меня после исправления FireFox пишет про неправильный URL

anonymous ()
[#]  

Re: Подмен адреса в Mozilla

Непонятно только, причем здесь мозилла?

Ежели в IE таки прикрутить поддержку idn - такая же фигня будет. Ну и что?

Еще есть офигенная уязвимость, которой все браузеры подвержены. Достаточно зайти на yndex.ru. Ужос! Жидомассонский заговор!

* ()
[#] Ответ на: подмена от BigSerpent 08.02.2005 11:32:45  

Re: подмена

Бороться вообще - там написано как. Во-первых, все денежные дела делать через ssl; во-вторых, когда пришёл на ssl-сайт, внимательно смотреть глазами на описание сертификата - там должно быть видно, настоящий url или левый.

anonymous ()
[#]  

Re: Подмен адреса в Mozilla

пипец мягко говоря

anonymous ()
[#] Ответ на: Re: Подмен адреса в Mozilla от fagot 08.02.2005 11:20:24  

Re: Подмен адреса в Mozilla

> Сделал false - разницы не заметил

> Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.7.5) Gecko/20041108 Firefox/1.0

А я сделал false и разницу заметил

Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.5) Gecko/20041107 Firefox/1.0

** ()
[#] Ответ на: Re: Подмен адреса в Mozilla от anonymous 08.02.2005 11:56:37  

Re: Подмен адреса в Mozilla

Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.5) Gecko/20041107 Firefox/1.0

после исправления работает как работало.. везде заходит.. ..неужели Билли и здесь подфартил=)

()
[#]  

Re: Подмен адреса в Mozilla

Красиво. По моему, по сути, даже к Mozilla и придираться не стоит. Она-то правильно переходит на ссылку с IDN. Такой спуфиг больше похож на социальную инженерию, а не на недостаток технологии.

* ()
[#] Ответ на: подмена от BigSerpent 08.02.2005 11:32:45  

Re: подмена

Я считаю, что при переходе по такой ссылке, браузер должен вывести окно - внимание, интернационал, присутствуют символы таких-то кодировок и пр. Имхо, верное решение.

anonymous ()
[#]  

Re: Подмен адреса в Mozilla

WindowsUser, а "Подмен" - это на каком языке? А "СерЪезная"? Ви есть плёхо говорить/писать по рюсски? Или это Вас так колбасит с утра на радостях? :)

*** ()
[#] Ответ на: Re: подмена от anonymous 08.02.2005 12:16:14  
WerNA

Re: подмена

>Я считаю, что при переходе по такой ссылке, браузер должен вывести окно - внимание, интернационал

патч пиши =)

***** ()
[#] Ответ на: Re: подмена от anonymous 08.02.2005 12:16:14  

Re: подмена

А что быть-то должно? У меня пишет про неверный URL

***** ()
[#] Ответ на: Re: подмена от anonymous 08.02.2005 11:52:03  

Re: подмена

>Бороться вообще - там написано как. Во-первых, все денежные дела делать через ssl

Для "неденежных" сайтов подмена тоже может быть нежелательна (мягко говоря). Что же теперь, весь веб на ssl переводить?

anonymous ()
[#] Ответ на: Re: подмена от anonymous 08.02.2005 12:16:14  

Re: подмена

> Я считаю, что при переходе по такой ссылке, браузер должен вывести окно - внимание, интернационал, присутствуют символы таких-то кодировок и пр. Имхо, верное решение.

IMHO - очень дубовое. Когда таких урлов появится много (а это произойдёт) юзеры задолбаются нажимать OK и просто забьют на мозиллу. В лучшем случае - символ в строке статуса. Но на него тоже никто смотреть не будет.

Кстати, notepad этому тоже не подвержен. И вообще многим уязвимостям не подвержен -> notepad - отличный браузер!

*** ()
[#]  

Re: Подмен адреса в Mozilla

А как в konqueror это отключить ?-)

anonymous ()
[#] Ответ на: Re: подмена от yozhhh 08.02.2005 12:21:28  

Re: подмена

> IMHO - очень дубовое. Когда таких урлов появится много (а это произойдёт) юзеры задолбаются нажимать OK и просто забьют на мозиллу. В лучшем случае - символ в строке статуса. Но на него тоже никто смотреть не будет.

Сейчас-то их немного, поэтому такое решение актуально. А если их будет много, у меня есть ещё одна идея - в адресной строке буквы URL'а в разных кодировках выделять разными цветами и выдавать хотя бы одно предупреждение с возможностью его отключить.

anonymous ()
[#] Ответ на: Re: подмена от annoynimous 08.02.2005 12:18:50  

Re: подмена

> А что быть-то должно? У меня пишет про неверный URL

Браузер должен перейти по ссылке, некоторые буквы в которой неанлгл. Если пишет про неверный URL, то либо браузер не поддерживает интернациональные адреса (например, www.россия.ru), либо такая ф-ция отключена.

anonymous ()
[#] Ответ на: Re: подмена от anonymous 08.02.2005 12:30:54  

Re: подмена

> у меня есть ещё одна идея - в адресной строке буквы URL'а в разных кодировках > выделять разными цветами

Общество Защиты Прав Дальтоников порвет таких программеров на части. Знаете как на западе строго с дискриминацией?

anonymous ()
[#] Ответ на: Re: подмена от anonymous 08.02.2005 12:33:41  

Re: подмена

вариант. - такое имя не поддерживает прокси.

***** ()
[#]  

Re: Подмен адреса в Mozilla

Самое интересное, что в этом случае код страницы невозможно просмотреть.

anonymous ()
[#]  

Re: Подмен адреса в Mozilla

Глупая шутка, а точнее наглое враньё. Konqueror говорит:
Ошибка при загрузке http:/:


Имя узла не указано.

* ()
[#] Ответ на: Re: подмена от anonymous 08.02.2005 12:30:54  

Re: подмена

> Сейчас-то их немного, поэтому такое решение актуально. А если их будет много, у меня есть ещё одна идея - в адресной строке буквы URL'а в разных кодировках выделять разными цветами и выдавать хотя бы одно предупреждение с возможностью его отключить.

Скорее, имело бы смысл предупреждать, если имя домена (одного уровня) содержит символы из разных кодировок. Если из одной кодировки - не надо никаких предупреждений.

*** ()
[#] Ответ на: Re: подмена от yozhhh 08.02.2005 12:21:28  

Re: подмена

> IMHO - очень дубовое. Когда таких урлов появится много (а это произойдёт) юзеры задолбаются нажимать OK и просто забьют на мозиллу. В лучшем случае - символ в строке статуса. Но на него тоже никто смотреть не будет.

И ещё. Речь идёт о похожих буквах разных кодировок в _одном_ адресе. Это явная попытка мошенничества, поэтому можно вообще всю строку адреса красным выделять.

> Общество Защиты Прав Дальтоников порвет таких программеров на части. Знаете как на западе строго с дискриминацией?

Для них должны быть специальные браузеры, имхо.

anonymous ()
[#] Ответ на: Re: подмена от yozhhh 08.02.2005 12:52:25  

Re: подмена

'network.enableIDN' - где это ? firefox 1 for win

* ()
[#] Ответ на: Re: подмена от yozhhh 08.02.2005 12:52:25  

Re: подмена

> Скорее, имело бы смысл предупреждать, если имя домена (одного уровня) содержит символы из разных кодировок. Если из одной кодировки - не надо никаких предупреждений.

Я это и имел ввиду, безусловно. Выдавать предупреждение на такие адреса, как www.россия.ru не имеет смысла.

anonymous ()
[#] Ответ на: Re: подмена от yozhhh 08.02.2005 12:52:25  

Re: подмена

'network.enableIDN' - где это ? firefox 1 for win

* ()
[#] Ответ на: Re: подмена от sur02111976 08.02.2005 12:53:12  

Re: подмена

> 'network.enableIDN' - где это ? firefox 1 for win

Вбей в адресную строку about:config

*** ()
[#] Ответ на: Re: подмена от anonymous 08.02.2005 12:55:04  

Re: подмена

> Я это и имел ввиду, безусловно. Выдавать предупреждение на такие адреса, как www.россия.ru не имеет смысла.

К сожалению, ламеры сообщений не читают. Они просто жмут "yes", а потом громко и визгливо кричат.

*** ()
[#] Ответ на: Re: Подмен адреса в Mozilla от asaw 08.02.2005 12:46:20  

Re: Подмен адреса в Mozilla

>Глупая шутка, а точнее наглое враньё. Konqueror говорит: >Ошибка при загрузке http:/: Не вранье. У меня нормально заходит, никаких ошибок.

anonymous ()
[#]  

Re: Подмен адреса в Mozilla

люди вы о чем?

Во время доставки URL: http://%77%77%77%2E%70%D0%B0%79%70%61%6C%2E%63%6F%6D/ Произошла следующая ошибка: * Неправильный URL

p.s.: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.0.0) Gecko/20020610

anonymous ()
[#] Ответ на: Re: подмена от yozhhh 08.02.2005 12:59:07  

Re: подмена

> К сожалению, ламеры сообщений не читают. Они просто жмут "yes", а потом громко и визгливо кричат.

Тогда это их проблемы, а не программы.

anonymous ()
[#]  

Re: Подмен адреса в Mozilla

А если предупреждений не было - недоработка и виноваты разработчики, имхо.

anonymous ()
[#]  
fagot

Re: Подмен адреса в Mozilla

Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.7.5) Gecko/20041108 Firefox/1.0

А в этом говорит, что левая ссылка :)

***** ()
[#]  

Re: Подмен адреса в Mozilla

ОФТОП
---

К WindowsUser.

Не знаете, случайно, аналога KTimemon (три полоски, сидящие в трее, показывающее загрузку ЦПУ, памяти, подкачки) для Win XP? Очень нужно.
---

anonymous ()
[#] Ответ на: Re: Подмен адреса в Mozilla от anonymous 08.02.2005 12:59:53  

Re: Подмен адреса в Mozilla

Я это к тому, что Konqueror, Mozilla и пр. в этом плане работают ничуть не хуже IE, который адреса типа http://россия.ru вообще не воспринимает (w2k3 rus).

* ()
[#] Ответ на: Re: Подмен адреса в Mozilla от asaw 08.02.2005 12:46:20  

Re: Подмен адреса в Mozilla

у вас вероятно конкуерор без поддержки idn :)
у меня kde 3.3.2
всё прекрасно работает

anonymous ()
[#] Ответ на: Re: подмена от anonymous 08.02.2005 12:36:14  

Re: подмена

> Общество Защиты Прав Дальтоников порвет таких программеров на части. Знаете как на западе строго с дискриминацией?

Пусть пишут свой плагин ...

anonymous ()
[#] Ответ на: Re: подмена от yozhhh 08.02.2005 12:56:33  

Re: подмена

Для тех кто на бульдозере.

В Mурzilla или в F/F:

Help -> About Mozilla
далее в адресной строке после появившегося about:

вводим слово config и жмем ввод

далее листаем вниз до букв network.enableIDN и на этом месте
либо два раза кликаем мышко или нажимаем на кнопку ввод

в результате этот очень труднной операции true меняется на false

anonymous ()
[#] Ответ на: Re: подмена от yozhhh 08.02.2005 12:21:28  

Re: подмена

> > Я считаю, что при переходе по такой ссылке, браузер должен вывести окно - внимание, интернационал, присутствуют символы таких-то кодировок и пр. Имхо, верное решение.

> IMHO - очень дубовое. Когда таких урлов появится много (а это произойдёт) юзеры задолбаются нажимать OK и просто забьют на мозиллу. В лучшем случае - символ в строке статуса. Но на него тоже никто смотреть не будет.

ОК, тогда сделать список адресов, для которых такое окошко выводить не надо и возможность добавлять туда свои любимые адреса. как это сделано с установкой програм, блокированием всплывающих окон и т.д.

Чем это решение плохо? Если оставить вообще без предупреждения, то опасная получается вещь.

Может курсивом выделять?

anonymous ()
[#] Ответ на: Re: подмена от anonymous 08.02.2005 12:36:14  

подмена

Действительно, указывать интернациональные символы в строке адреса красным цветом. И дать возможность настраивать этот цвет пользователю.

** ()
[#]  
Adjkru

Re: Подмен адреса в Mozilla

Это типа значит что ИЕ не может работать с частичнорусскими именами доменов? странно. хотя соглашусь мне не надобилось =). А различить можно легко - ставишь соотв шрифт в котором русские и английские буквы отличаются. например HanucoBaииыu какими нибудь китайцами =)

**** ()
[#] Ответ на: Re: Подмен адреса в Mozilla от yozhhh 08.02.2005 12:18:20  

Re: Подмен адреса в Mozilla

> yozhhh (*) (08.02.2005 12:18:20) > а "Подмен"...

хехе... начало уже сказываться. У меня и в мыслях не было подумать, что "подмен" женского рода. Англо+немецкоязычная среда...

** ()
[#] Ответ на: подмена от BigSerpent 08.02.2005 13:17:20  

Re: подмена

Лучше как в gedit --- размером шрифта.

***** ()
[#]  

Re: Подмен адреса в Mozilla

Прикольно :-)
Самый надёжный способ защиты - не заходить по ссылкам с левых сайтов или ещё лучше - вбивать адрес самому :-)

*** ()
[#] Ответ на: Re: Подмен адреса в Mozilla от unDEFER 08.02.2005 14:40:06  

Re: Подмен адреса в Mozilla

> Самый надёжный способ защиты - не заходить по ссылкам с левых сайтов или ещё лучше - вбивать адрес самому :-)

А ещё лучше - не доверять всяким DNS и вбивать сразу IP :)

*** ()
[#] Ответ на: Re: Подмен адреса в Mozilla от anonymous 08.02.2005 13:06:09  

Re: Подмен адреса в Mozilla

аналог KTimemon - taskinfo

anonymous ()
[#] Ответ на: Re: Подмен адреса в Mozilla от yozhhh 08.02.2005 14:42:41  

Re: Подмен адреса в Mozilla

не прокатит при виртуальном хостинге ;)

* ()
[#] Ответ на: Re: подмена от anonymous 08.02.2005 12:16:14  

Re: подмена

>Я считаю, что при переходе по такой ссылке, браузер должен вывести окно - внимание, интернационал.

Окно - это плоско, банально. Нет, браузер должен запеть. "Весь мир насилья мы разрушим до основанья, а затем..."

anonymous ()
1 2
Mozilla