Phishing irriconoscibile su Chrome, Firefox e Opera: sembra apple.com ma non lo è

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...o-e_68310.html

Uno sviluppatore web ha mostrato un piccolo trucco con cui è possibile riprodurre dei nomi dominio falsi in maniera quasi del tutto irriconoscibile per l'utente

Click sul link per visualizzare la notizia.

[oasis666]

...ho appena sistemato Firefox!

Andate in about:config e settate su TRUE il seguente valore:

network.IDN_show_punycode

Vi verrà così mostrato il nome reale del sito, sempre.

[kwb]

Quote:

Originariamente inviato da oasis666

...ho appena sistemato Firefox!

Andate in about:config e settate su TRUE il seguente valore:

network.IDN_show_punycode

Vi verrà così mostrato il nome reale del sito, sempre.

Ottimo! Grazie!

[Dumah Brazorf]

Porca p*tt*na, se non lo correggono subito saranno disastri allucinanti.

[kwb]

Quote:

Originariamente inviato da Dumah Brazorf

Porca p*tt*na, se non lo correggono subito saranno disastri allucinanti.

Effettivamente è abbastanza grave questa cosa. Credo che l'unico modo per accorgersene sia guardare il certificato SSL, ma difficile succeda. Personalmente guardo molto raramente i certificati SSL..

[Sandro kensan]

Tutto previsto, gli stessi programmatori di Mozz://a l'hanno messo in conto quando hanno messo in piedi l'algoritmo:

https://wiki.mozilla.org/IDN_Display_Algorithm

In fondo alla pagina si legge:

Downsides

This system permits whole-script confusables (All-Latin "scope.tld" vs all-Cyrillic "ѕсоре.tld"). However, so do the solutions of the other browsers, and it has not proved to be a significant problem so far. If there is a problem, every browser is equally affected.

La soluzione al problema non sono i punycode come suggerito da oasis, questo è un metodo elitario di risolvere il problema che va bene solo per la gente occidentale mentre gli altri rimangono nella c@cc@: un po' razzista come soluzione.

La soluzione invece potrebbe essere questa:

Se potessi suggerire una soluzione agli sviluppatori di Moz://la direi
che dovrebbe essere segnalata la lingua dei caratteri dell'url mostrato.

Per esempio di seguito a
аррӏе
si potrebbe mostrare un paio di caratteri in cirillico a indicare che
l'url è in cirillico, di seguito a apple si potrebbe mostrare (lat) per
indicare che i caratteri sono in latino.

Poi nelle preferenze si potrebbe indicare il set di caratteri di default
in modo tale da non avere alcuna indicazione solo per la lingua scelta.

In tal modo apple.com (latino) potrà apparire come tale e аррӏе.com (cirillico) apparirà come:
аррӏе.com (ЖЙ)
o roba simile.

Oppure si potrebbe evidenziare con dei colori il link che non è standard
(come impostato in preferenze). Chi scarica firefox en/it/es, ecc avrà
impostato la lingua di default dei link su latin), chi scarica firefox
in russo e altri paesi dell'est lo avrà in cirillico, chi scarica la
versione cinese avrà impostato i caratteri han, ecc.

Edit: ho letto un commento oppure un articolo (non ricordo) in cui si evidenziava che Edge e Opera (mi pare) non gestivano il cirillico per cui il problema non si poneva.

Un buon browser dovrebbe fare vedere apple.com anche se è scritto in cirillico perché è verosimile che un russo voglia registrarsi un sito con i suoi caratteri. Se non si vede allora il browser è adatto solo agli occidentali, quindi sostanzialmente incompleto e/o razzista.

[alexdal]

appena provato: chrome ha il problema Edge invece no

[DjLode]

Quote:

Originariamente inviato da alexdal

appena provato: chrome ha il problema Edge invece no

Chrome ultima versione (58.qualcosa) non ha il problema. Se riesci aggiorna.

[FirePrince]

Basterebbe colorare la barra degli indirizzi di rosso quando il sito visitato ha un indirizzo in caratteri diversi da quelli di sistema (o peggio ancora, misti). Anche un utonto si accorgerebbe che c'e' qualcosa che non va...

[Sandro kensan]

deleted.

[Sandro kensan]

Quote:

Originariamente inviato da FirePrince

Basterebbe colorare la barra degli indirizzi di rosso quando il sito visitato ha un indirizzo in caratteri diversi da quelli di sistema (o peggio ancora, misti). Anche un utonto si accorgerebbe che c'e' qualcosa che non va...

Nel caso di caratteri misti viene mostrato il punycode.

Esempio di punycode:
http://www.xn--perch-fsa.it/
per il sito www.perché.it

Concordo che nel caso di caratteri diversi dal proprio linguaggio basta evidenziare il link.

[fraussantin]

Almeno su mobile basta clikkare sopra



Sul fisso non ho controllato,. Ma chrome di solito mette la casellina a fianco con il riconoscimento sicuro.

[thewebsurfer]

io non ho mai capito come si riproducono i caratteri unicode dalla tastiera (win).
Cercando sul web si dice alt+codice, ma per alcuni funziona, altri no.
Ad esempio alt+0430 produce (la a cirillica dell'articolo): ®
e U+0061 (la a di utf8) produce: =
mentre alt+0200 produce correttamente la È

[Jack.Mauro]

Quote:

Originariamente inviato da Sandro kensan

Tutto previsto, gli stessi programmatori di Mozz://a l'hanno messo in conto quando hanno messo in piedi l'algoritmo

Talvolta, per alcune ragioni più o meno giuste, nel mondo vengono fatte delle cazzate senza senso.

I domini IDN sono ottimi per russi e cinesi, ma aprono la strada ad attacchi in tutto il mondo...
La memoria mi torna al 1995: L'autoplay dei cd prima e delle chiavette USB poi è comodità: fa risparmiare ben un click, ma quanti virus sono nati e proliferati attorno a questa funzionalità?

[aqua84]

Safari su iOS 10.3 mi visualizza che quel sito non è collegato in nessun modo ad Apple.

[Sandro kensan]

Quote:

Originariamente inviato da Jack.Mauro

I domini IDN sono ottimi per russi e cinesi, ma aprono la strada ad attacchi in tutto il mondo...

Hemmmm...

Se togliamo gli europei e gli americani abbiamo tutto il mondo, Senza contare che noi occidentali siamo grosso modo 800 milioni di persone, un 10% della popolazione mondiale.

Tutto il mondo *non* siamo noi.

Poi noi italiani non abbiamo l'alfabeto americano e inglese ma abbiamo un diverso alfabeto. A scuola mi hanno insegnato che si scrive perché, quindi il sito internet italiano relativo è:

http://www.xn--perch-fsa.it/

solo storpiano la lingua di Dante si usa il sito perche.it

Analogamente per tutte le altre lingue europee.

Togli gli anglosassoni (5 paesi?) e avrai il mondo:

https://it.wikipedia.org/wiki/Stati_del_mondo

[fraussantin]

Quote:

Originariamente inviato da Sandro kensan

Hemmmm...

Se togliamo gli europei e gli americani abbiamo tutto il mondo, Senza contare che noi occidentali siamo grosso modo 800 milioni di persone, un 10% della popolazione mondiale.

Tutto il mondo *non* siamo noi.

Poi noi italiani non abbiamo l'alfabeto americano e inglese ma abbiamo un diverso alfabeto. A scuola mi hanno insegnato che si scrive perché, quindi il sito internet italiano relativo è:

http:/www.xn--perch-fsa.it/

solo storpiano la lingua di Dante si usa il sito perche.it

Analogamente per tutte le altre lingue europee.

Togli gli anglosassoni (5 paesi?) e avrai il mondo:

https://it.wikipedia.org/wiki/Stati_del_mondo

io ancora non ho capito in che modo perché diventa www.xn--perch-fsa.it

E soprattutto perché.

Cioè perché la fsa =é

[Sandro kensan]

Quote:

Originariamente inviato da fraussantin

io ancora non ho capito in che modo perché diventa www.xn--perch-fsa.it

E soprattutto perché.

Cioè perché la fsa =é

Si tratta di un algoritmo, con una certa complessità ma comunque un algoritmo. In pratica i primi caratteri sono quelli ascii mentre gli ultimi dicono in quale posizione deve assere aggiunto il carattere é.

Se ti interessa l'algoritmo lo puoi trovare descritto qui:

https://it.wikipedia.org/wiki/Punycode

[Opteranium]

Ma i certificati non dovrebbero eliminare il problema? Se vado su www.xnqualcosa al posto di apple.com, non dovrebbe saltar fuori che il certificato del primo è sbagliato?