聽起來很嚴重,我從 SSL security problem 看到了這個消息。不過 IE 不受影響 (IE 不支援標準這下可會被拿來說嘴了,除非裝了 plugin ),反而是所有 mozilla 系和 Safari、Opera 會中招。
IDN (International Domain Name) 所造成的問題是可以讓惡意的網頁用 punycode 來製造假的 URL (包括 SSL certificate) 欺騙使用者,把使用者導向到另一個惡意的網頁去。 demo site 舉 paypal 作例子,點裡面的連結以後明明連到的不是 paypal,不過網址列上寫的明明白白是 http://www.paypal.com/ 和 https://www.paypal.com/ 。
檢測這種惡意連結的方法是把 URL 另外貼到不支援 IDN 的軟體裡面,例如 notepad、command prompt 或 shell,就看得出來那其實是假的 URL 了。
因為 Firefox 會中招,所以最好是進到 about:config 把 network.enableIDN 給關掉。
Posted by yungyuc
at 21:06,
0 comment,
0 trackback.
Navigate
- Previous: zopechinapack 0.5 released @2005/02/05
- Next: 林口早餐店的看板貓 @2005/02/08
Add a trackback
Please send trackback to: http://blog.seety.org/everydaywork/2005/2/7/223/trackback/.
Add a comment