パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ChromeとFirefoxのホモグラフ攻撃対策を迂回する方法」記事へのコメント

  • 朝日と、朝曰のように、字体がよく似た文字を使われてしますと、
    punycode にしても、正しい punycode を知らないと正しいかどうかを
    判断することができないのが難点ですね。

    # 日本語ドメイン使うなということが解決法になるのかな

    • by Anonymous Coward

      突き詰めると「Punycode」なんてドメイン名で実装したやつがクソなんだよなぁ
      こんなことになるのは有識者が少し考えりゃわかるのに、商売を優先した結果がこれじゃん

      こんなクソ仕様をサポートするブラウザごと投げ捨てるべき
      まだ使いどころがあるだけActiveXのほうがマシなぐらいだ

      • by Anonymous Coward

        Punycode (RFC 3492) はそもそもドメイン名で使用することを想定して
        設計さられたものなので、実装ではなくRFCがクソなのでは?
        Punycode is a simple and efficient transfer encoding syntax designed for
        use with Internationalized Domain Names in Applications (IDNA).
        それともRFCやW3Cなどの定義に準拠しないブラウザが良いってこと?

        このRFCがクソなのには同意。当時から危険性が指摘されていたにも関わらず、
        ゴリ押しされた経緯についても糞だとは思う。

        なお、Chromeは対策済み。Firefoxもabout:configで対応可能で手元の環境では
        IE, Firefox, Chrome共にhttps://www.xn--80ak6aa92e.com/などの表記が確認できた。
        # Edgeのみなぜかhttpsが省略して表示される。

        • by Anonymous Coward on 2017年04月21日 14時57分 (#3197733)

          Safariは2005年にはこの問題を解決(言い換えればRFC無視?)してたそうで、
          やはりクソなもの(ユーザーに害をもたらすもの)は無視した方がいいと思うな。

          なお、Safariは常にスキーム名(http,https)は省略される。
          正当な証明書付きのhttpsでのみ鍵マーク(EVの場合、緑+名称)がつき、そのほかは常に何も表示しない。
          オレオレ証明書httpsでも鍵なしでhttp同等扱い。

          親コメント
          • 一度実装したら曲解に曲解を重ねて延命をしていた当時のMicrosoftでさえ、一度実装した後からこんなくそなRFCなんて窓から投げ捨ててしまえ!ってな事をやっているからね。
            相当なくそRFCである事は間違いない。

            W3CとしてはURL入力はデコード状態で受け付けて、アドレスバーやステータスバーにはエンコード済みの値で表示しろって事だったのか、あるいは、アドレスバーとは別にエンコード済みの値が出る想定でもあったのかな…
            どちらであれそうしろって書いていない時点で相当間抜けではあるが。

            ># Edgeのみなぜかhttpsが省略して表示される。
            EdgeはそもそもHTTPとHTTPSしか対応していないのですよ。
            故に鍵マークの有無だけで判別できるからアドレス入力モードにしないとスキームが表示されない。
            親コメント
            • by Anonymous Coward on 2017年04月24日 15時12分 (#3199307)

              Microsoftはこの仕様投げ捨ててないよ。
              それどころか、Edgeでもこの仕様を使っている

              ただし、システム言語との突き合わせを行っていて
              システム言語と合わない場合は、もとのxn--xxxxの形式で表示している。
              # たしか・・・

              日本語のOSでは下記のような取り違えを起こさせることは可能なので
              同じ脆弱性が残っていると言えると思う。

              (実在) http:/// [http]日本語.jp http://xn--wgv71a119e/ [xn--wgv71a119e]
              (無い) http:/// [http]曰本語.jp http://xn--jov2ew20i/ [xn--jov2ew20i]

              (実在) http:/// [http]モジラ.jp/ http://xn--yck6dwa.jp/ [xn--yck6dwa.jp]
              (無い) http:/// [http]モヅラ.jp/ http://xn--cdkxcwa.jp/ [xn--cdkxcwa.jp]

              ちなみにchromeが対策と言っているのも
              実験したところ、同じ手法での対策に見えるので、
              日本語のOSでは日本語ドメインについて「IDNホモグラフ攻撃」が可能と言えると思う。

              個人的には紛らわしいので、RFC 3492自体廃止するか
              MSもGoogleもMozillaも完全に無効化する対策をとってほしい。

              親コメント
          • by Anonymous Coward

            >オレオレ証明書httpsでも鍵なしでhttp同等扱い
            あー。これいい。
            いちいち許可するかどうか聞いてくるのうざい。
            http同等で処理したら何か問題あるんだろうか。

            • by Anonymous Coward on 2017年04月21日 20時14分 (#3198023)

              何故問題ないと思ったのかそれを知りたい。
              「警告が出る」代わりに「毎回自分で注意深く確認する」ことを要求されてるんだけど。

              親コメント
            • by Anonymous Coward
              白紙より捨て印だけ押した紙の方が危険とかそういう考えなのかも

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...