Vint Cerf, voorzitter van de ICANN, heeft aangegeven dat het aantal voor domeinnamen bruikbare karakters voorlopig tot 37 beperkt blijft. De vraag naar vooral Arabische, Chinese en Japanse domeinnamen groeit snel en afgelopen donderdag bracht een commissie van de Verenigde Naties nog een rapport uit waarin werd geklaagd dat er op het gebied van de meertaligheid van het internet 'onvoldoende vooruitgang' werd geboekt. Waar dat rapport gebrek aan coördinatie en technische problemen als oorzaken aandroeg, gaf Cerf echter aan dat vooral het aantal te gebruiken karakters drastisch zou moeten worden gelimiteerd. Hoewel het Unicode-systeem voor internationalisatie zeer bruikbaar is, zijn er nogal wat verschillende karakters met een identiek uiterlijk. Daardoor kan voor de doorsnee gebruiker het verschil tussen een authentieke website en de kopie van een phisher zo goed als onzichtbaar worden gemaakt. Momenteel slagen oplichters er al in om met mailtjes met hyperlinks naar domeinnamen als 'paypa1.com' gebruikers te overtuigen hun password of andere vertrouwelijke data af te geven; een ongecontroleerde uitbreiding met Unicode zou 'zeer misleidende' domeinnamen mogelijk maken, aldus Cerf. Totdat de dubbelzinnigheid is uitgebannen moeten de internetters het van hem dus doen met zesentwintig letters, tien cijfers en een liggend streepje.
Phishing vertraagt Unicode-domeinnamen
Reacties (50)
26 letters, 10 cijfers en een liggend streepje is 37, maar sinds wanneer kan je geen domein meer registreren met een min teken "-" ?? Ik ken er genoeg!
In ieder geval vind ik het prima dat het beperkt blijft tot een bepaalde set. Het moet liefst beperkt blijven tot letters en tekens die je vrij gemakkelijk via je toetsenbord kunt invoeren. Echter ik kan me voorstellen voor de talen waar ons alphabet zo goed als niet gebruikt wordt dat ze andere tekens willen gebruiken. Echter zodra die landen sites maken die weer voor internationale communicatie bedoeld zijn zullen ze toch weer het westers alphabet moeten gebruiken.
Kunnen ze de mogelijke tekens niet beperken per land extensie?
In ieder geval vind ik het prima dat het beperkt blijft tot een bepaalde set. Het moet liefst beperkt blijven tot letters en tekens die je vrij gemakkelijk via je toetsenbord kunt invoeren. Echter ik kan me voorstellen voor de talen waar ons alphabet zo goed als niet gebruikt wordt dat ze andere tekens willen gebruiken. Echter zodra die landen sites maken die weer voor internationale communicatie bedoeld zijn zullen ze toch weer het westers alphabet moeten gebruiken.
Kunnen ze de mogelijke tekens niet beperken per land extensie?
Ik denk dat het vooral voor de locale markt bedoelt is.
per slot van rekening kan je tweakers.net ook in japanse karakters weergeven. Het blijft echter wel de zelfde website.
per slot van rekening kan je tweakers.net ook in japanse karakters weergeven. Het blijft echter wel de zelfde website.
Volgens mij wordt met het liggend streepje het minteken bedoeld. Ik ken in ieder geval geen sites met een 'onderstreepje', deze: _.
ken jij wel een website met een liggend streepje dan?
ik niet
ik niet
Hopen ...
divx-digest.com en een van de grootste abandonware sites om er twee te noemen
divx-digest.com en een van de grootste abandonware sites om er twee te noemen
Beide streepjes liggen, alleen in de Nederlandse taal heeft men soms van die onlogische namen gegeven aan tekens. Ik geef toe dat het in het Engels ook niet altijd logisch is, maar toch zou ik liever hebben dat men in Nederland de _ underscore noemt, de - dash, de # sharp etc....
Ahum, Nederlands heeft logische namen, alleen in de newspost staat het fout. Het - heet officieel "koppelteken". Hoe de _ heet is me even ontschoten, helaas. Het # heet ook gewoon hekje.Beide streepjes liggen, alleen in de Nederlandse taal heeft men soms van die onlogische namen gegeven aan tekens. Ik geef toe dat het in het Engels ook niet altijd logisch is, maar toch zou ik liever hebben dat men in Nederland de _ underscore noemt, de - dash, de # sharp etc....
Ja, die wel dus. Maar geen website met "_" erin.
Dat is geen liggend streepje. Een liggend streepje is een underscore '_'
Het liggend streepje is inderdaad niet toegestaan. Waarom wordt dit dan wel in de post gezet?
quote:
"Totdat de dubbelzinnigheid is uitgebannen moeten de internetters het van hem dus doen met zesentwintig letters, tien cijfers en een liggend streepje."
quote:
"Totdat de dubbelzinnigheid is uitgebannen moeten de internetters het van hem dus doen met zesentwintig letters, tien cijfers en een liggend streepje."
liggend streepje = min teken
Ik vind het goed dat het niet wordt uitgebreid (voorlopig) al zouden een punt en normaal streepje nog wel kunnen. Maar straks krijg je tekens die amper op je toetsenbord zijn in te voeren. Dan maar wat minder mogelijkheden, maar zo hou je het wel duidelijk en overzichtelijk. Ondanks dat ik best begrijp dat sommige niet westerse culturen het graag anders zouden zien.
een punt gaat technisch gezien niet, dit word gebruikt voor subdomeinen. sidn.nl is een subdomein van nl, en ns1.sidn.nl is weer subdomein van sidn.nl
ofwel, als je graag een domein met een . wilt, moet je het domein erboven kopen
dus wanneer je defusion.is.cool.nl wilt, moet je cool.nl kopen
ofwel, als je graag een domein met een . wilt, moet je het domein erboven kopen
dus wanneer je defusion.is.cool.nl wilt, moet je cool.nl kopen
Het probleem zou al flink worden beperkt door alleen domeinnamen toe te staan met karakters die of in het Engels, of in de eigen taal, voorkomen. Dus voor de Duitse domeinnamen (".de" sites) wel de ringel-s en de letters met umlaute, maar geen c-cedille en al helemaal geen cyrillische letters bijvoorbeeld.
Vanwege de 'legacy' zullen de Engelse letters (voorlopig althans) toegestaan moeten blijven voor de niet-Engelstalige sites.
Vanwege de 'legacy' zullen de Engelse letters (voorlopig althans) toegestaan moeten blijven voor de niet-Engelstalige sites.
Dat is alleen niet van toepassing op .com, .net en .org (en .biz, .info, .sex enzovoorts) omdat dat internationale domeinen zijn.
De gemiddelde computer noob zal het echt niet opvallen dat hij naar postbank.com gaat i.p.v. postbank.nl, en het verschil tussen paypal.com en paypaI.com (kleine letter "L" en hoofletter "i") is nog veel lastiger. Als we dan ook nog met accentjes gaan klooien in internationale domeinen wordt het helemaal een rotzooi.
De gemiddelde computer noob zal het echt niet opvallen dat hij naar postbank.com gaat i.p.v. postbank.nl, en het verschil tussen paypal.com en paypaI.com (kleine letter "L" en hoofletter "i") is nog veel lastiger. Als we dan ook nog met accentjes gaan klooien in internationale domeinen wordt het helemaal een rotzooi.
Maar zo'n paypaI.com (hoofdletter i ipv kleine L) domein zou toch niet mogen ? Hoe krijgen die gasten dat voor elkaar eigenlijk ? Ben er zelf ook eens bijna ingetrapt, en ik let toch heel erg sterk op dit soort dingen.
domeinen zijn hoofdletter ongevoelig, dus beide schrijfmethodes werken.
http://paypai.com/ kan dus gewoon als http://paypaI.com/ (hoofdletter i) worden gebruikt.
http://PayPal.com/ of http://payPAL.com/ zijn dus allemaal correcte schrijfmethodes voor de echte paypal.com domein, want het wordt simpelweg genegeert.
Ik vindt het momenteel dus ook een slechte zaak dat PayPal niet achter dat soort typo domeinen aangaat, Google heeft tenslotte de rechtzaak gewonnen. Alleen hadden die wel het voordeel dat het toen duidelijk om verspreiding van spyware ging.
http://paypai.com/ kan dus gewoon als http://paypaI.com/ (hoofdletter i) worden gebruikt.
http://PayPal.com/ of http://payPAL.com/ zijn dus allemaal correcte schrijfmethodes voor de echte paypal.com domein, want het wordt simpelweg genegeert.
Ik vindt het momenteel dus ook een slechte zaak dat PayPal niet achter dat soort typo domeinen aangaat, Google heeft tenslotte de rechtzaak gewonnen. Alleen hadden die wel het voordeel dat het toen duidelijk om verspreiding van spyware ging.
Inderdaad vreemd dat paypal daar niet achteraan gaat.
De .NL variant was nog gewoon vrij.
Bij deze heb ik hem maar in mijn assortiment opgenomen, maar wel netjes doorverwezen naar paypal zelf.
Ik heb zelf een hekel aan phising en zie het als een groot probleem aangezien mensen op zo'n manier gedupeerd worden dat reclameren niet meer helpt.
Wanneer iemand slachtoffer wordt van een dergelijke oplichter zal de persoon in kwestie een cieviele zaak moeten starten, iets dat erg veel kost en nog moeilijker is als de tegenpartij zich in een of ander oosters land bevind. (In ieder geval heeft het dan geringe slagingskans)
Vaak start de onderneming waarvan de originele site is ook wel een zaak, maar dat hoeft dus niet.
Nu roepen velen dat het de eigen schuld is van degenen die er in trappen, maar bedenk maar eens hoeveel mensen in je eigen directe omgeving hiervoor in aanmerking komen.
Een geek of tweaker die erin trapt is inderdaad dom, maar een familielid met wat minder ervaring in een onoplettend moment?
Die worden gewoon bedonderd en geven te goeder trouw wat er gevraagd wordt. Het mailtje was toch van dat grote gerenommerde bedrijf? Het was zelfs op hun eigen site!
Bedenk maar eens hoeveel ingevulde formulieren ze in hun database hebben staan na het verzenden van een mail of 10000...
De .NL variant was nog gewoon vrij.
Bij deze heb ik hem maar in mijn assortiment opgenomen, maar wel netjes doorverwezen naar paypal zelf.
Ik heb zelf een hekel aan phising en zie het als een groot probleem aangezien mensen op zo'n manier gedupeerd worden dat reclameren niet meer helpt.
Wanneer iemand slachtoffer wordt van een dergelijke oplichter zal de persoon in kwestie een cieviele zaak moeten starten, iets dat erg veel kost en nog moeilijker is als de tegenpartij zich in een of ander oosters land bevind. (In ieder geval heeft het dan geringe slagingskans)
Vaak start de onderneming waarvan de originele site is ook wel een zaak, maar dat hoeft dus niet.
Nu roepen velen dat het de eigen schuld is van degenen die er in trappen, maar bedenk maar eens hoeveel mensen in je eigen directe omgeving hiervoor in aanmerking komen.
Een geek of tweaker die erin trapt is inderdaad dom, maar een familielid met wat minder ervaring in een onoplettend moment?
Die worden gewoon bedonderd en geven te goeder trouw wat er gevraagd wordt. Het mailtje was toch van dat grote gerenommerde bedrijf? Het was zelfs op hun eigen site!
Bedenk maar eens hoeveel ingevulde formulieren ze in hun database hebben staan na het verzenden van een mail of 10000...
Er zijn gebiedsdelen in Duitsland waar Frans wordt gesproken: hoppa, ook Franse karakters toestaan. Er zijn ook internationale bedrijven actief in Duitsland: hoppa, ook Oost-Europese karakters toestaan en ga zo maar verder.
Als internationaal bedrijf kan je dan rustig wel een paar extra domeinen veroorloven. Steeds meer zie je de trend dat gebruikers niet meer bedrijfsnaam.com intypen, maar vaker naar bedrijfsnaam.ccTLD gaan (ccTLD = Country Code Top Level Domain, oftewel hun eigen landcode).
En op de algemene bedrijfsnaam.com website kan dan gewoon gelinkt worden naar die speciale ccTLD site met een andere karakterset.
Wat misschien een beter systeem is, is dat er een nieuwe standaard voor de browsers komt, die de speciale karakterset oplicht. Dus bijvoorbeeld PäyPal.com laat dan de ä zien in een ander kleurtje (achtergrond of zo, zodat het duidelijk is), en komt met een waarschuwingsvenster, dat dit een andere karakterset is, en of ze niet PayPal.com bedoelen.
En op de algemene bedrijfsnaam.com website kan dan gewoon gelinkt worden naar die speciale ccTLD site met een andere karakterset.
Wat misschien een beter systeem is, is dat er een nieuwe standaard voor de browsers komt, die de speciale karakterset oplicht. Dus bijvoorbeeld PäyPal.com laat dan de ä zien in een ander kleurtje (achtergrond of zo, zodat het duidelijk is), en komt met een waarschuwingsvenster, dat dit een andere karakterset is, en of ze niet PayPal.com bedoelen.
Op zich is dit een valide reden; beter zou het echter zijn om te investeren in andere manieren om phishing problemen op te lossen; in plaats van het tegenhouden van een nuttige feature
Phishing is een aanval op het (gebrek aan) inschattingsvermogen van mensen. Behalve het zelf intikken van websites of het gebruik van bookmarks, is er niet veel beveiliging mogelijk.
Voor die 10% van de surfers niet nee, maar voor die overige 90% is het toch wel een issue.
Internet en onze digitale toepassingen zijn nou eenmaal niet FOOL-proof. Doen alsof is meestal al voldoende om mensen om de tuin te leiden. Dit geldt niet alleen online, maar ook in real-life.
In het dagelijkse leven kan je ook allerlei trukjes verzinnen om mensen te belazeren. Ik vind het goed dat hiermee rekening gehouden wordt om het niet te makkelijk te maken voor de oplichters.
Internet en onze digitale toepassingen zijn nou eenmaal niet FOOL-proof. Doen alsof is meestal al voldoende om mensen om de tuin te leiden. Dit geldt niet alleen online, maar ook in real-life.
In het dagelijkse leven kan je ook allerlei trukjes verzinnen om mensen te belazeren. Ik vind het goed dat hiermee rekening gehouden wordt om het niet te makkelijk te maken voor de oplichters.
Het zijn ook echt niet alleen maar security mailtjes. Phisers zijn echt veel slimmer dan jij denkt. Wat zou jij bijvoorbeeld doen als je een mailtje van de Rabobank krijgt waar in staat dat er een gratis vakantie van 7 dagen naar spanje beloofd word voor iedere 10e persoon die via internet bankieren in logt? Het mailtje is geheel in rabobank stijl en er staan ook meteen een link om in te loggen. De meeste mensen gaan dan dus meteen inloggen en zien niet dat de url www.rabobank.nu is in plaats van www.rabobank.nl
Je schrijft het zelf, ze zien het niet... omdat ze gewoon niet lezen wat er staat.
Als dat een reden is om iets niet in te voeren dan ken ik nog ettelijke andere dagdagelijkse feiten die ze moeten afschaffen...
Als dat een reden is om iets niet in te voeren dan ken ik nog ettelijke andere dagdagelijkse feiten die ze moeten afschaffen...
Wat is jouw oplossing dan? Moeten die mensen "gewoon maar niet zo stom zijn" of heb je nog iets beters te melden? Heb je er soms last van als het wat meer idiot proof wordt of moet internet iets voor de nerd blijven zodat je je technologisch superieur kan blijven voelen?
Bedrijfsnieuws
green.velvet onderschat duidelijk social engineering. niks is veilig totdat de mensen beseffen dat er mogelijk is en hoe makkelijk informatie men afhandig kan maken. imo is het limmiteren van het aantal mogelijkheden van phishers iets wat sterker opweegt tov de mogelijkheden van taal barrieres. daarnaast heb ik dit soort 'problemen' nooit meegemaakt ten tijden van dat bv japan booming was. die gebruiken toch ook keurig het westerse alfabet, of van russen? dat de site zelf vol met onduidelijke tekens staat is een ander verhaal maar de domeinen sofar heeft het nooit problemen geleverd
deze post doet me trouwens denken aan bash
deze post doet me trouwens denken aan bash
#369 +(5054)- [X]
<Beeth> Girls are like internet domain names, the ones I like are already taken.
<honx> well, you can stil get one from a strange country :-P
Dat heeft verder niets met unicode domainnames te maken maar alles met de domheid of luiheid van vele gebruikers
Noem mij maar dom, maar ik heb toch graag liever dat ik mijn url-balk kan vertrouwen. Ik heb het ding niet voor niks.
Noem mij maar dom, maar ik heb toch graag liever dat ik mijn url-balk kan vertrouwen. Ik heb het ding niet voor niks.
Zou het probleem dat Cerf aangeeft niet eenvoudig te ondervangen zijn door alleen domeinnamen goed te kuren waarvan alle letters behoren tot één karakterset? Misverstanden worden dan immers voorkomen.
het idee van unicode is juist dat je geen aparte karaktersets meer hebt. Binnen Unicode zijn karakters wel onderverdeeld in blocks, maar bijv. "latin extended a" is een toevoeging aan het basic latin block, je kunt dus niet het ene toestaan en het andere niet. In latin extended a zitten genoeg karakters die op basic latin karakters lijken.
Dan heb je nog steeds een probleem als er karaktersets bestaan die vrijwel een kopie zijn van een andere karakterset. Je kunt dan alle karakters vervangen ipv 1, of een paar.
Kunnen de zelfrepsecterende browserboeren niet gewoon een functie inbouwen die de registrant info van het domein vergelijkt met gebruikte url? Komt het overeen dan is de site "validated" door de browser, verschilt het dan is de site "rogue". Dan er goed op hameren dat men gevoelige info alleen op "validated" en liefst nog secured ook sites geeft Iemand die namelijk probeert te phishen zal niet graag eerst een bedrijf moeten oprichten en als alle TLD beheerders vereisen dat de registrant ofwel op particuliere naam of bij bewijs van inschrijving kvk of equalevent op bedrijfsnaam registreert maak je ze het wel weer een stuk lastiger; althans dat lijkt mij.
@martijnvanegdorn: je spreekt niet over een technische beperking maar een administratieve beperking. Dat is natuurlijk vrij eenvoudig op te lossen. Daarnaast is het gebruik maken van de Whois gegevens slechts een voorbeeld.
@Jacco69: Zodra je het "paypai" bedrijfje officieel opricht is het niet erg moeilijk om je te traceren na een phishing attempt.
@martijnvanegdorn: je spreekt niet over een technische beperking maar een administratieve beperking. Dat is natuurlijk vrij eenvoudig op te lossen. Daarnaast is het gebruik maken van de Whois gegevens slechts een voorbeeld.
@Jacco69: Zodra je het "paypai" bedrijfje officieel opricht is het niet erg moeilijk om je te traceren na een phishing attempt.
Lijkt me niet een goed plan.. daarnaast is het technisch geëens mogelijk omdat sidn standaard niet meer dan 20 registrant checks per dag per ip tolleerd dus als jij niet meer dan 20 websites per dag wil bezoeken ga je gang.
(Geld alleen voor nl domeinen)
(Geld alleen voor nl domeinen)
Die komen natuurlijk overeen, zeker als je een paypai bedrijfje opricht en de paypai.com domein registreerd.
Mischien kunnen zoek machines helpen naar verdachte sites te zoeken.
Zelf kan je maar beter nooit gevoelige informatie intikken als je de site naam niet zelf hebt ingetikt.
Mischien kunnen zoek machines helpen naar verdachte sites te zoeken.
Zelf kan je maar beter nooit gevoelige informatie intikken als je de site naam niet zelf hebt ingetikt.
Kunnen die instanties die die TLD beheren niet gewoon is gaan controleren wat er wordt geregistreerd. Als iemand nou in dit vb paypa1.com wil registreren en het is niet iemand van paypal zelf, dan zeg je gewoon dat dat domein niet te registreren is , of is dit te moeilijk voor ze ofzo? 
.
.
Ik denk dat daar eerder een taak ligt voor certificate authorities. Er zou een enkele CA moeten zijn die garandeert dat alle certificaten die ze uitgeeft duidelijk te onderscheiden zijn van alle anderen en die garanadeert dat het bij het bedrijf hoort dat je zou verwachten als klant.
Voor de grootste én belangrijkste bedrijven (banken e.d.) is dat best te doen, maar dat werkt nog steeds alleen als mensen de moeite nemen om te verifiëren dat het certificaat in orde is.
Voor de grootste én belangrijkste bedrijven (banken e.d.) is dat best te doen, maar dat werkt nog steeds alleen als mensen de moeite nemen om te verifiëren dat het certificaat in orde is.
off topic i know
maar heeft er iemand toevallig even een linkje met meer info over de structuur van certificaten en hoe er juist mee om te gaan?
maar heeft er iemand toevallig even een linkje met meer info over de structuur van certificaten en hoe er juist mee om te gaan?
En hoe verstuur ik dan straks een mailtje naar die chinese buurman van me? Moet ik dan een chinees keyboard aanschaffen?
Dat zou de handigste oplossing zijn. Maar als je écht geen nieuw toetsenbord wilt aanschaffen kun je het ook met je huidige doen. Gewoon invoersoftware installeren (NJStar, etc.). Chinese tekst kan worden opgeschreven in alfabet met pinyin. Dan schrijf je gewoon de letterlijke uitspraak en de software kan dat onmiddelijk vertalen naar Chinese tekst, omdat de pinyinvertaalmethode standaard is qua spelling. Er zijn dus geen twijfelgevallen tussen woorden en je kan het niet fout doen.
staand streepje: |
schuine streepjes: / en \
liggend streepje: -
schuine streepjes: / en \
liggend streepje: -
Op dit item kan niet meer gereageerd worden.