Misschien is het handig om te vermelden dat dit geen bug is, maar een gevolg van het correct implementeren van de standaard.
In de URL worden characters uit andere charactersets gebruikt die er precies hetzelfde uitzien als characters in de "normale" set. Hierdoor zie je dus een domeinnaam, maar is het een andere.
Zowel het displayen van de domainnaam als het opvragen van de paginas is volkomen correct in alle ondersteunende browsers. Dit is eerder het gevolg van een bug in de standaard dan een bug in de browsers. (IE is ook vulnerable als je de plugin installeert met IDN ondersteuning, het ligt dus meer aan IDN dan aan de browsers)
In December 2001, a paper was released describing Homograph attacks [1]. This
new attack allows an attacker/phisher to spoof the domain/URLs of businesses.
At the time this paper was written, no browsers had implemented Unicode/UTF8
domain name resolution.
Deze bug in de standaard is dus al in 2001 beschreven, lang voordat browsers er ondersteuning voor hadden. Het KAN dus per definitie geen browserbug zijn.
Wel behoorlijk beschamend dat de standaard nog niet is aangepast moet ik zeggen.
Sinds wanneer is het incorrect implementeren van een standaard geen bug? Alles wat niet werkt zoals het zou moeten werken is een bug.
Als het een bug is in de standaard dan moet je zorgen dat het niet standaard aanstaat.
le-zen... de standaard is correct geimplementeerd, dit werkt precies zoals het zou moeten werken. Helaas heeft de standaard een (niet eens onverwacht) gevolg.
Dan is de standaard fout en moet die opnieuw op de tekentafel..
Het is niet altijd goed de standaarden te volgen als je de gevolgen kunt inschatten.
Het correct implementeren van een retegevaarlijke standaard is misschien geen bug, maar het is de ontwikkelaars in ieder geval aan te rekenen dat ze het gewoon gedaan hebben en dat het standaard allemaal aanstaat.
Tenslotte, veel van de MS-verwijten zijn gebaseerd op correct werkende, maar standaard gevaarlijk geconfigureerde applicaties (zoals IIS).
Als je het bericht waarop je reageert eens beter leest: het gaat om het CORRECT implementeren van de standaard.
De 'fout' (als je 't dat al kan noemen) zit in de standaard.
Je zou kunnen zeggen dat de fout in Unicode zit: een normaal mens denkt: als het er uit ziet als een `a' dan is het een `a'. Maar dat blijkt dus niet zo te zijn. Er zal misschien best een goeie reden voor zijn om verschillende tekens te hebben die er hetzelfde uitzien, maar leg dat maar eens uit.....
De standaar is correct geimplementeerd, niet INcorrect. Het is dus geen bug maar wel een beveiligingsprobleem(pje).
Edit: te laat...
Misschien is het handig om te vermelden dat dit geen bug is, maar een gevolg van het correct implementeren van de standaard.
Wat koop ik nou voor dit geneuzel? Altijd maar dat relativeren van problemen in andere browsers... bah. Ik gebruik zelf Firefox en baal hier van. Hier moet gewoon een bugfix voor komen. En gaarne snel!
Ik zeg toch ook niet dat het geen groot probleem is? Het is zeker een probleem, maar geen browserbug. Er is een verschil.
Dat de developers hadden moeten kiezen om de standaard niet te implementeren of op zn minst aanvullen met wat waarschuwingen hier en daar staat buiten kijf.
Waarmee je eigenlijk aangeeft dat het "achterlopen" van MS op dit gebied wel eens een bewuste keuze kan zijn geweest. Vergeet niet: Dit probleem was al in 2001 bekend. Nog voordat IDN geimplementeerd werd.
Edit @Killercow
Zou jij een standaard implementeren waar van je weet dat die grote problemen voor de gebruikers gaat geven?
Het is onzin om dit te vergelijken met een auto die maar 40 kan. Ik heb nog nooit iemand IDN als belangrijk voordeel van Firefox horen aanhalen en heb ook nog nooit gehad dat een site die ik wil bezoeken niet met IE toegankelijk was. En ik denk dat in ieder geval dat laatste voor 99% van de internet gebruikers geldt.
Zelfs als het een bewuste keuze van MS is is het een lompe beslissing, Zou jij een auto kopen waarvan de fabrikant zegt dat je er maar 40 mee kunt omdat je je dan niet dood kan rijden?
nee toch? dan wil je toch ook gewoon 120? en dan wil je er gewoon gordels en bumpers bij toch?
Maar ik wil geen gordels waarvan bekend was dat ze niet deugden.
(reactie op killercow): Zelfs als Mozilla-gebruiker vind ik dit een beetje erover. Het is nu niet dat het browsen met deze feature ineens 3x sneller zou gaan hoor. Het is eerder zoiets als 'wil u graag de optionele parkeersensoren?', want het is een vrij triviale feature, die via een plugin ook beschikbaar is in IE.
Ik vraag me eigenlijk af waarom die feature geimplementeerd werd in de alternatieve browsers als deze fout in het protocol al zo lang bekend is.
Waar je dan aan voorbij gaat is dat de exploit anders is dan anders. De a in paypal in het voorbeeld is eigenlijk een а ( & # 1 0 7 2 ; ) en dat is dus een andere letter dan de a die we in de ascii-tekenset gebruiken. Ondersteuning hiervoor maakt het mogelijk dat ze in china url met hun eigen karakterset kunnen registreren en weergeven. Moeten we dat dan weer snel terugdraaien?
Valt hier de vergelijking te trekken met het 'lek' in Microsoft's DRM? (het beschreven lek is 'by design'):
http://www.tweakers.net/nieuws/35749/
Valt me op dat er in dat geval een stuk meer gebashed wordt dan in dit geval.
Ik denk het wel ja. Dit "lek" is niet op zichzelf te gebruiken, net als die DRM kwestie is het op zichzelf niet gevaarlijk.
Het enige andere aan die DRM kwestie is dat altijd IE gestart wordt (ook als dat niet je default browser is) en daarna met behulp van andere IE exploits spyware geinstalleerd kan worden.
Op zich allemaal niets nieuws, het enige wat die DRM kwestie erger maakt is dat media player altijd IE opstart ipv de default browser, maar als je bedenkt dat dat ook niet anders KAN (die license download heeft ActiveX nodig) is dat ook niet zo erg meer.
Wat deze kwestie erg maakt is dat het "lek" al jaren bekend is en er niets aan is gedaan...
Moet je toch eens het proof of concept bekijken.
Ik vind het heel erg dat mijn browser aangeeft dat ik met SSL verbonden ben met paypal (of de abnamro of...) terwijl dat dus niet zo is.
Hmm, IDN is een standaard ontwikkeld door de IETF (
www.ietf.org). De IETF is een activiteit van de Internet Society,
www.isoc.org. en wat lezen we daar:
ISOC would like to acknowledge the Microsoft Corporation for donating software for our office operations.
poe.. gelukkig is het toch nog Microsofts schuld
![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.gif){kind=icon}
09:27
00:00
Door 
![[show]](http://tweakimg.net/g/if/comments/button_down.gif "Reactie uitklappen")
