News IDN-Sicherheitslücke in fast allen Browsern

Steffen

Technische Leitung
Administrator
Registriert
März 2001
Beiträge
17.171
In allen bekannten Web-Browsern außer dem Internet Explorer, der internationale Domain-Namen schlicht nicht unterstützt, wurde eine Sicherheitslücke gefunden, die es erlaubt in der Adresszeile eine andere Domain auszugeben als die tatsächlich angezeigte. Der ganze Trick besteht darin, Zeichen zu kodieren, die eigentlich nicht kodiert werden müssten.

Zur News: IDN-Sicherheitslücke in fast allen Browsern
 
ich warte schonmal gespannt auf die COmments von euch Firefox/mozilla usern =)

naja, zum Glück hab ich mienen eigenen Browser :)
 
Steffen schrieb:
Klasse, du hast es einfach nich drauf, einen neuen ach so erfüllenden Flamewar zu verhindern!

Dann lösch seinen Comment doch einfach.......früher hats dazu noch neg. Karma gegeben das geht(in diesem Fall "leider") nicht mehr.

Der link funzt bei mir irgendwie ned......

Man merkt schon dass der IE seit 5 Jahren(in der größenordnung) nicht mehr weiterentwickelt wurde.......eine unterstützung solcher adressen ist ja im eigentlichen Sinne nichts falsches.

Was ich nicht ganz verstehe: Wieso deckt ma Sicherheitslücken eigentlich immer erst auf bevor sie 1 Woche oder so erst gestopft wurden? Eine Kontaktierung der Entwicklung mit Angebung einer Deadline(sagen wir: in einer Woche lassen wir die Katze aus dem Sack) wäre doch viel besser. Dann wären patches drausen wenn die Meldung kommt. Und es würden nicht lauter Kiddies sofort probieren sie auszunutzen.
 
Das ist kein Fehler in den Browsern, die machen nämlich alles korrekt, daß Problem liegt einfach im IDN-System, auf das schon lange vor der Einführung von IDN hingewiesen wurde. Merkwürdig das jetzt plötzlich alle aufschreien und sich wundern, daß ist doch alles von Anfang an klar gewesen.

Apropos:
Der ganze Trick besteht darin, Zeichen zu kodieren, die eigentlich nicht kodiert werden müssten.

Das ist so nicht korrekt, bzw. zumindest missverständlich: Die Zeichen, die wir sehen, in dem Beispiel das "a" in "www.paypal.com" muss natürlich in Punycode kodiert werden, weil es sich halt nicht um das "ASCII-a" handelt, sondern um den kyrillischen Buchstaben, der nunmal (fast) identisch aussieht.

Das Problem kann man eigentlich nur auf zwei Wegen lösen: In gewissen Maße so wie es die DENIC macht, in dem sie keine .de-Domains zulässt, die Zeichen enthalten, die mit Zeichen im lateinischen Alphabet verwechselt werden können oder halt auf Browserseite, in dem man IDN ausschaltet, was im Moment noch kein grosser Verlust ist, oder Buchstaben in URIs irgendwie farbig hervorhebt, die nicht im eingestellten Standardzeichensatz vorkommen.


--Thomas
 
Zuletzt bearbeitet: (Hinweis auf network.enableIDN gelöscht, weil das in Firefox 1.0 nicht funktioniert)
DeeJayTomek schrieb:
Wer IDNs erstmal komplett deaktivieren möchte, kann dies trotz des im Artikel angesprochenen Bugs, auch dauerhaft einstellen, in dem er folgende Zeile in der Datei `user.js' (wenn die noch nicht existiert, einfach neu anlegen) im Firefox-Profilverzeichnis einträgt:

user_pref("network.enableIDN", false);


--Thomas

Das stimmt so nicht, probier es aus. Es geht auch nicht über about:config. Obwohl der Wert auf false steht erfolgt nach einem Neustart des FF die Umleitung.
 
Zuletzt bearbeitet:
pomasl schrieb:
Das stimmt so nicht, probier es aus. Es geht auch nicht über about:config. Obwohl der Wert auf false steht erfolgt nach einem Neustart des FF die Umleitung.
Ich habe es ausprobiert, allerdings verwende ich aktuelle Nightly Builds von Firefox und da ist der oben genannte Bug schon behoben, in Firefox 1.0 funktioniert es also, wie du richtig erkannt hast, nicht. Vielen Dank für den Hinweis.

--Thomas
 
Morgoth schrieb:
Ich glaube da war auch mal ein längerer Artikel in der c't über die Unsinnigkeiten und Klimmzüge im Punycode. Muss kurz vor der Einführung gewesen sein.
Das ganze IDN-System war keine wirklich gute Idee, weil dadurch viele Domains gar nicht oder nur noch umständlich erreicht werden können: ein Amerikaner wird nicht ohne weiteres einen URI mit deutschen Umlauten in seinen Browser eingeben können (und Punycode will wohl niemand ernsthaft von Hand zusammenbauen), genau wie wir Schwierigkeiten kriegen werden, irgendwelche Seiten aus Griechenland, Osteuropa oder Asien zu erreichen, die ebenfalls ein von uns abweichendes Alphabet verwenden.

Es stand aber auch drin, warum nicht vollständig auf Unicode umgestiegen wurde. Ich suchs nochmal raus.
Weil dazu das ganze DNS umgerüstet werden müsste, was einen wesentlich höheren Aufwand bedeutet hätte. Mit Unicode hätte es diese Sicherheitslücke übrigens auch gegeben - und das ganze wäre dann sogar noch schwerer zu entdecken gewesen, bei Punycode sieht man ja wenigstens, daß es sich nicht um reine ASCII-Zeichen handelt.

--Thomas
 
Auch wenn die meisten es wissen...

Mozilla / Firefox

about:config

idn eingeben

wert auf false setzen... wenn ihr zu denen gehört die sich verarschen lassen... aber naja... auf wichtigen seiten welche durch phishing betroffen sind ist ssl standard und ff zeigt ja brav in der andresszeile an ob man ssl aktiv bekommt oder nicht...
 
BSDDaemon schrieb:
Auch wenn die meisten es wissen...

Mozilla / Firefox

about:config

idn eingeben
Hättest Du den Artikel durchgelesen, hättest du gesehen, daß dies durch einen Bug in Firefox 1.0/Mozilla 1.7.5 nach jedem Neustart neu gesetzt werden muss, d.h. der Workaround ist praktisch nicht einsetzbar. In Mozilla 1.8a6 und den letzten Firefox Trunk Nigthly Builds ist der Fehler bereits behoben und der Bug wurde auch als "blocking-aviary1.0.1+" gesetzt, man darf also davon ausgehen, daß dies in Firefox 1.0.1 behoben sein sollte.
wert auf false setzen... wenn ihr zu denen gehört die sich verarschen lassen... aber naja... auf wichtigen seiten welche durch phishing betroffen sind ist ssl standard und ff zeigt ja brav in der andresszeile an ob man ssl aktiv bekommt oder nicht...
Na dann besuche mal https://www.pаypal.com/ und erzähle uns, was du gesehen hast.

Wie ich gerade gesehen habe, wird die oben genannte URI nur im Forum richtig angezeigt, auf den Newsseiten wird das kyrillische "a" durch sein HTML-entity а ersetzt.

--Thomas
 
Zuletzt bearbeitet:
Man sollte sich sowieso angewöhnen solche Addressen in einem neuen Fenstzer per Hand einzugeben, schließlich konnte man zeitweise bei allen Browsern in früherer Standardkonfiguration auch mal eben die Adressleiste abschalten und mit einem Webseitenelement gleich einer Addressleiste ersetzen. (zuletzt wurde darüber bei Mozilla geredet, es gab solche Möglichkeiten aber auch schon für andere Browser)
Bedenklig ist das Problem sicherlich. Man kann ne Mail von seiner Bank kriegen, klickt auf nen Link und macht mal flott Online-Banking auf einer gefälschten Banking-Seite, Geldverlust.

Die Banken täten gut daran ihre Kunden zu lehren Banking-Addressen nur in neuen Fenstern per Hand einzugeben, das ist eben einfach und immernoch die sicherste Möglichkeit Phishing vorzubeugen. ;)

Die Reaktionen von Apple und Opera Software sind unter aller Sau! Gerade Opera Software sollte darüber nachdenken ob man mit Stellungnahmen nach microsoftschem Vorbild wirklich Marktanteile gewinnen kann oder ob man sich damit nicht auf Dauer das eigene Grab schaufelt.

Mich würde noch interessieren wie sich das KDE-Projekt (KHTML/Konqueror) dazu äußert.

Und natürlich warte ich auf Steve Ballmers erste Worte zum Thema - Womöglich gar IE7/Longhorn aus Sicherheitsgründen immernoch ohne IDN? :affe:
 
naja ich bleib alles-user ie und firefox oder opera. meistens hauts dann auch hin! antivirus und firewall ist eh pflicht. und auf seite mit äüö usw. surf ich aus prinzip nicht. ich bleib old-school ;-)
 
Ach ja, gewissen Linux-System sind davon zum Teil nicht betroffen - da nicht unbedingt alle dafür Erforderlichen Zeichensätze installiert sein müssen, oder sich irgendwie unterscheiden - diese können dann ein "anderes" a sehen als normal.

Faktisch ist es so: Umlaut Domains sind nicht der kleinste gemeinsame Nenner des Internets, trotzdem musste diese komplette Schwachsinn eingeführt werden, jetzt haben SIE die Quittung - weg mit Umlautdomains!

Problem erledigt, Sorry aber was will man mit Websites die ein Amerikaner gar nicht besuchen kann - was soll sowas - total idiotisch, Umlaute sind einfach nicht Teil des "kleinsten gemeinsamen Nenners" und haben deswegen keine Lebensberechtigung!
 

Ähnliche Themen

Zurück
Oben