Подделка доменных имён с помощью punycode
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 18.04.17 07:52
Оценка: 45 (7)
https://www.аррӏе.com/

(работает чуть менее, чем во всех браузерах, по состоянию на 18.04.2017)

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Отредактировано 18.04.2017 8:02 kochetkov.vladimir . Предыдущая версия . Еще …
Отредактировано 18.04.2017 8:01 kochetkov.vladimir . Предыдущая версия .
Re: Подделка доменных имён с помощью punycode
От: Pzz Россия https://github.com/alexpevzner
Дата: 18.04.17 08:32
Оценка: +2
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>(работает чуть менее, чем во всех браузерах, по состоянию на 18.04.2017)


А что, интересно, должны были бы бровсеры делать? Предупреждать, что в URLе находится смесь латинских и не-латинских букв? Наверняка, можно подобрать такое сочетание, которое вообще не будет содержать латинских букв, а по виду и не скажешь.

В принципе, спасибо надо говорить тем долбодятлам, которые протолкали идею интернационализированных доменных имен.
Re[2]: Подделка доменных имён с помощью punycode
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 18.04.17 08:38
Оценка: 3 (1) +4
Здравствуйте, Pzz, Вы писали:

Pzz>А что, интересно, должны были бы бровсеры делать? Предупреждать, что в URLе находится смесь латинских и не-латинских букв? Наверняка, можно подобрать такое сочетание, которое вообще не будет содержать латинских букв, а по виду и не скажешь.


Можно, к примеру, отображать все символы, не относящиеся к ASCII, другим цветом.

Pzz>В принципе, спасибо надо говорить тем долбодятлам, которые протолкали идею интернационализированных доменных имен.


+1

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[3]: Подделка доменных имён с помощью punycode
От: Pzz Россия https://github.com/alexpevzner
Дата: 18.04.17 08:47
Оценка: +1
Здравствуйте, kochetkov.vladimir, Вы писали:

Pzz>>А что, интересно, должны были бы бровсеры делать? Предупреждать, что в URLе находится смесь латинских и не-латинских букв? Наверняка, можно подобрать такое сочетание, которое вообще не будет содержать латинских букв, а по виду и не скажешь.


KV>Можно, к примеру, отображать все символы, не относящиеся к ASCII, другим цветом.


Я тоже об этом подумал. Но по-хорошему, тут надо бы не выделять как-то особо ASCII, а все символы, относящиеся к разным, хм, алфавитам (code pages? эта хрень имеет какое-то название в терминологии UNICODE?) раскрашивать в разные цвета.

Вопрос в том, что кончится раньше, различимые цвета или похожие по начертанию алфавиты?
Re[4]: Подделка доменных имён с помощью punycode
От: cures Россия cures.narod.ru
Дата: 18.04.17 09:34
Оценка:
Здравствуйте, Pzz, Вы писали:

Pzz>Я тоже об этом подумал. Но по-хорошему, тут надо бы не выделять как-то особо ASCII, а все символы, относящиеся к разным, хм, алфавитам (code pages? эта хрень имеет какое-то название в терминологии UNICODE?) раскрашивать в разные цвета.

Pzz>Вопрос в том, что кончится раньше, различимые цвета или похожие по начертанию алфавиты?

По-хорошему, надо все символы не из ascii писать хексом, с хорошо заметным префиксом, и пусть те долбодятлы урадуются.
Так многие браузеры даже делали с кириллицей в урле, только вот надо разрешить делать такое отдельно с доменом, отдельно — с остатком урла, чтобы пользователь мог выбирать. По дефолту лучше ставить всё непотребное в хексе.
Re[5]: Подделка доменных имён с помощью punycode
От: Буравчик Россия  
Дата: 18.04.17 16:44
Оценка: +1
Здравствуйте, cures, Вы писали:

C>Так многие браузеры даже делали с кириллицей в урле, только вот надо разрешить делать такое отдельно с доменом, отдельно — с остатком урла, чтобы пользователь мог выбирать. По дефолту лучше ставить всё непотребное в хексе.


В некоторых браузерах есть настройка с похожими функциями. В частности, в firefox есть опция network.IDN_show_punycode, которая преобразовывает все idn домены в ascii-вид.

Но это, конечно, не очень удобно, т.к. становится не видно исходное ("читаемое") имя. Лучше было бы конечно видеть оба варианта, если есть какие-то "подозрения".
Best regards, Буравчик
Re[6]: Подделка доменных имён с помощью punycode
От: cures Россия cures.narod.ru
Дата: 18.04.17 17:07
Оценка: +1
Здравствуйте, Буравчик, Вы писали:

Б>Но это, конечно, не очень удобно, т.к. становится не видно исходное ("читаемое") имя. Лучше было бы конечно видеть оба варианта, если есть какие-то "подозрения".


Так безопасность не работает Если подозрения возникли, значит на компе уже давно дерётся полдюжины ботнетов за ресурсы.
А чем в хексе нечитаемо? Китайцы пусть ставят себе китайские брафсеры, а путин — чебурашку. Нам пока оставьте простую латиницу.
Re[2]: Подделка доменных имён с помощью punycode
От: Дрободан Фрилич СССР  
Дата: 18.04.17 17:09
Оценка:
Pzz:

KV>>(работает чуть менее, чем во всех браузерах, по состоянию на 18.04.2017)

Pzz>А что, интересно, должны были бы бровсеры делать? Предупреждать, что в URLе находится смесь латинских и не-латинских букв?
Там все буквы обычные кириллические кроме l, l — нечто предположительно кириллическое казахское.

Оффтопик: редактор FARа показывает код текущего символа, какой редактор еще такое умеет?..
Модератор-националист Kerk преследует оппонентов по политическим мотивам.
Re: Подделка доменных имён с помощью punycode
От: Михaил  
Дата: 18.04.17 17:15
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>https://www.аррӏе.com/


KV>(работает чуть менее, чем во всех браузерах, по состоянию на 18.04.2017)


У меня заменилось автоматом на https://www.xn--80ak6aa92e.com
Re[2]: Подделка доменных имён с помощью punycode
От: velkin Удмуртия http://blogs.rsdn.org/effective/
Дата: 19.04.17 05:50
Оценка:
Здравствуйте, Pzz, Вы писали:

Pzz>А что, интересно, должны были бы бровсеры делать?


Если доменные имена имеют не латинские буквы, то не давать так просто зайти на сайты.
Re[3]: Подделка доменных имён с помощью punycode
От: rameel https://github.com/rsdn/CodeJam
Дата: 19.04.17 05:55
Оценка:
Здравствуйте, Дрободан Фрилич, Вы писали:

ДФ>Там все буквы обычные кириллические кроме l, l — нечто предположительно кириллическое казахское.


Палочка (кириллица)
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[2]: Подделка доменных имён с помощью punycode
От: Alexander G Украина  
Дата: 19.04.17 05:59
Оценка:
Здравствуйте, Pzz, Вы писали:

Pzz>А что, интересно, должны были бы бровсеры делать? Предупреждать, что в URLе находится смесь латинских и не-латинских букв?


Хром вот такую смесь просто отображает как punicode.
(Но в этом случае не смог, тут, видимо, нет латинских)
Русский военный корабль идёт ко дну!
Отредактировано 19.04.2017 6:02 Alexander G . Предыдущая версия .
Re: Подделка доменных имён с помощью punycode
От: MadHuman Россия  
Дата: 25.04.17 09:31
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>https://www.аррӏе.com/


да уж, плохо что в хроме и сертификат сайта не просто увидеть.
в сертификате видно для какого домена выдан и там имя www.xn--80ak6aa92e.com
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.