Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 7 reacties
Bron: Heise Online

De Internet Engineering Task Force wil de International Domain Names-standaard verbeteren om zo het gevaar van phishing tegen te gaan, zo lezen we bij Heise. De invoering van de internationale domeinnamen is namelijk niet vlekkeloos verlopen. Het toevoegen van bijzondere tekens zou binnen veel talen voor beter herkenbare domeinnamen moeten zorgen, zoals de umlaut voor onze oosterburen. Helaas bleek het systeem niet erg waterdicht en konden experts door gebruik te maken van cyrillische letters phishing op een nieuw niveau bedrijven. Door de 'a' in PayPal te vervangen door de cyrillische 'a', bleef de domeinnaam voor het zicht gelijk, terwijl het om een andere website ging.

Volgens een van de sprekers op de conferentie is de IDN-standaard 'praktisch dood' op het moment dat verschillende browser verschillende oplossingen voor de problemen gaan implementeren. Er is ook kritiek op het functioneren van de IETF, dat bij het bekend worden van het probleem te weinig aan oplossingen is gaan werken. Een van de oplossingen is een 'één taal per domein'-regel, zoals onder meer voorgesteld door het ICANN, die het mengen van bijvoorbeeld Latijnse en cyrillische tekens zou verbieden. Een van de opstellers van IDN benadrukt dat het niet de bedoeling kan zijn de standaard compleet te veranderen; strengere regelgeving moet het grootste gedeelte van de problemen kunnen oplossen.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (7)

Een van de opstellers van IDN benadrukt dat het niet de bedoeling kan zijn de standaard compleet te veranderen; strengere regelgeving moet het grootste gedeelte van de problemen kunnen oplossen.
Als je standaard al bij design ruk is, dan lijkt het me niet verstandig dit met regelgeving enigzins recht te trekken. Bovendien hebben de populaire browsers laatst IDN-support default uitgezet, waardoor het voor de meeste mensen helemaal niet werkt.

Laten we allen IDN vergeten en een nieuwe goede standaard bedenken. Deze standaard was gewoon niet goed bedacht en dit was al vanaf het begin bekend.

Zie ook: Alternatieve browsers kwetsbaar voor phishing en The state of homograph attacks en Firefox voorzien van update
IDN heeft voor wat niet voorziene problemen gezorgd, de eis voor 1 set per domein naam is een goede zet, hoewel men het nog verder zou moeten aanscherpen. Bijvoorbeeld door een extra domainname lvl te gebruiken, zoals bijv in de UK met com.uk zou men bijvoorbeeld .nat. kunnen invoeren voor native language. Een duitse domeinnaam in het duits zou dan op .nat.de moeten eindigen, zodat het voor de gebruikers nog duidelijker wordt als ze tenminste de moeite nemen om naar de adresbalk te kijken.

Uiteraard zullen er altijd mensen blijven die zelfs op ja klikken als er een waarschuwing komt van: "Weet u zeker dat u opgelicht wilt worden?". Maar voor de meeste mensen zou dit toch een teken aan de wand moeten zijn.
die het mengen van bijvoorbeeld Latijnse en cyrillische tekens zou verbieden
Als je dit nou gewoon aanpast is het probleem toch opgelost.. |:(
Dan ben je er niet. De Nederlandse IJ bijvoorbeeld.... Die kan je schrijven als een losse I en J, of als één letter, met IJ in een HTML-pagina.

Als de Tweakerswebsite dit eet is hier een demonstratie, probeer het anders zelf eens.:

"IJ en IJ zijn niet hetzelfde".

Het enige verschil is dat je bij de eerste de afzonderlijke letters kunt selecteren, bij de tweede alleen de hele IJ.

Zo zitten er bijzonder veel mogelijkheden in Unicode om dezelfde tekst te krijgen met een verschillende codering.
Ze zouden bij het registreren van domeinnamen toch ook wat meer kunnen doen dan invoeren in het DNS? Ik bedoel, het paypal voorbeeld lijkt me bij aanvraag wel heel doorzichtig.
precies, dat is waar het voornamelijk fout gaat. die native language domeinnamen worden omgezet in een ascii-naam zodat het ook werkt voor programma's die de neiwue standaard niet kennen, en krijgen dan een naam xn-iets-nogiets . Wat een domain name registrar zou moeten doen is als er een aanvraag komt voor een naam van dat type, is even kijken hoe die naam er uit gaat zien als IDN aan staat, dan zou zo'n paypal-look-a-like meteen opgevallen zijn. Ik ben benieuwd of ze dat gaat lukken met betere regelgeving.
Ik denk dat je gewoon strenge regels er op moet nahouden bij het formuleren van domein namen.
Snap best dat mensen speciale tekens er graag in willen terug zien, maar daardoor krijg je heel snel problemen dat systemen elkaar niet meer ondersteunen en de kans dat daar misbruik van gemaakt wordt op de manier zoals bijvoorbeeld in het voorbeeld is groot.

Mensen kunnen overal de naam van een website met de meest vreemde karakters weergeven, alleen het adres niet. Daar moeten ze dan toch gewoon rekening mee houden...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True