聽起來很嚴重,我從 SSL security problem 看到了這個消息。不過 IE 不受影響 (IE 不支援標準這下可會被拿來說嘴了,除非裝了 plugin ),反而是所有 mozilla 系和 Safari、Opera 會中招。

IDN (International Domain Name) 所造成的問題是可以讓惡意的網頁用 punycode 來製造假的 URL (包括 SSL certificate) 欺騙使用者,把使用者導向到另一個惡意的網頁去。 demo sitepaypal 作例子,點裡面的連結以後明明連到的不是 paypal,不過網址列上寫的明明白白是 http://www.paypal.com/https://www.paypal.com/

檢測這種惡意連結的方法是把 URL 另外貼到不支援 IDN 的軟體裡面,例如 notepad、command prompt 或 shell,就看得出來那其實是假的 URL 了。

因為 Firefox 會中招,所以最好是進到 about:confignetwork.enableIDN 給關掉。

Posted by yungyuc at 21:06, 0 comment, 0 trackback.
Navigate
Add a trackback
Add a comment

Your name. (required)

Your personal website. (optional)

Your email address. Will not show in page. (suggested, but optional)

Text format is "Plain Text".

Enter "bPRAU"
© hover year to navigate month: powered by django