Исследователи из компании Soluble выявили новый способ регистрации доменов с омоглифами, внешне похожими на другие домены, но фактически отличающиеся из-за наличия символов с иным значением. Подобные интернационализированные домены (IDN) могут на первый взгляд не отличаться от доменов известных компаний и сервисов, что позволяет использовать их для фишинга, в том числе получая для них корректные TLS-сертификаты...Подробнее: https://www.opennet.me/opennews/art.shtml?num=52479
Просто проектировщики юникода совершили огромную ошибку. Одинаково и просто похоже выглядящие символы должны были быть одними codepointами. То есть г, g и γ должны быть одним и тем же, а твик написания под язык должен кодироваться отдельным символом. То есть те же самые однобайтовые кодировки, только немного унифицированные и с in-band signaling. Тогда для решения всех проблем с омоглифичным фишингом достаточно просто вырезать code pointы, твикующие под язык. Бонус - намного меньший размер текста.
Это не ошибка разработчиков юникода. Юникод создавался с определённой целью - в одной кодировке хранить всевозможные символы разных языков. Вне зависимости от их внешней похожести, коды разные, поскольку символы из разных языков.
А вот те, кто решил потянут юникод куда попало, уже и не думали о последствиях.
А нельзя ввести ограничение символы из одного языка Юникода для регистрации доменов?
Скажем работа.рф (используется один язык символов - русский).
Можно, в отдельно взятом сегменте, со своими DNS. Но у наших сейчас другие запарки. Уверен, кому надо, учтут и Ваш коммент :)
И ещё сразу шрифты делать нормальные. Тоже заметно уменьшит путаницу между l и 1 и т.д.
И компот!
это сузит проблему, но не решит её, например: OBEC — это русский и английский.
вот C Y K A
Разве OBEC.рф можно зарегистрировать?
Друг мой, вы невнимательно новость читали?> Классическая подмена через внешне сходный IDN-домен давно блокируется в браузерах и регистраторами, благодаря запрету смешивания символов из разных алфавитов.
> .рф.xn--p1ai ты хотел сказать.
надо просто выкинуть пуникод из адресов. И оставить в утверждённую стандартом систему доменных имен, в которой разрешены только 26 символов латинского алфавита, цифры от 0 до 9 и дефис, а не тянуть сову на глобус ради кривой поддержки местечковых алфавитов.
Старым пердунам юникод не нужен. Ага ни лесом пердун.
26 символов хватит всем.
С самого начала сделали. Но новость -- о подмене частых латинских символов редкими латинскими, не входящими в основные 26.
А может тебе ещё и O и 0 одним и тем же, с твиком? В символе первично не написание, а значение, поэтому в юникоде всё сделано правильно.Ошибка же в том что для верификации аутентичности ресурсов используются строки, допускающие омоглифы. Это значит что либо доменные имена не должны использоваться для верификации (для этого могли использоваться *V сертификаты, но торгашня зарубила эту идею), либо в них не должно быть омоглифов. Последнего можно достичь разными способами - разрешить там только ascii, либо жёстко нормализовывать, либо запретить смешивать разные алфавиты. Во всём кроме первого варианта всегда останутся лазейки.
Вы сертификат в ссылку вставите, или как? Вот ограничиться подмножеством ascii - это да, было бы просто, тупо и надёжно, но китайцы с японцами бы не оценили
Китайцы с японцами использовали латинские имена доменов десятилетиями. И сейчас используют. и ничего, ни одного трупа.
Вот как раз китайцы с епонцами еще любят halfwidth символы. Автор новости про такие походу не знает, но они в юникоде есть и это тот ещё пц. Тамошние хипстеры про ascii отродясь не знают и копипастят из character map всё что хоть близко похоже на очертания латиницы. Мы задолбались чесслово ихние документы парсить. Новость, конечно, радует. Вариантов гораздо больше и наверное, мы что-то упускаем.
А iconv //translit не помогает?
>Вот ограничиться подмножеством ascii - это даДа-да, всё для удобства латиницы! Символьный фашизм на марше.
Истину глаголишь! Да здравствуют имена корорые непонятно как вообще вводить (в юникоде МНОГО символов)!
Тебя надо много лет лечить. Много-много лет лечить.
Во, луддит вылез. Вернись на DOS, там все просто.
> Истину глаголишь! Да здравствуют имена корорые непонятно как вообще вводить (в юникоде МНОГО символов)!Непонятно как — не вводи. И остальные пусть не вводят. Сайт сам загнётся.
> Тебя надо много лет лечить. Много-много лет лечить.
Без тебя разберусь. Марш уроки учить.
>asciiИменно из-за таких луддитов все в нашем мире через одно место. Тут около месяца назад, а может и меньше, один товарищь отписался в рассылке musl, сказав что все последние патчи, которые направлены были на поддержку unicode в этом проекте бессмыслены и пустая трата времени. Мол раньше (когда трава...) все патчи он понимал и использовал их в своей компаним, а последние пять для юникода он не понял и считает, что только запутали "девственно-идеальный" код и поэтому он вот-вот психанет, раструбит какой плохой musl, может форкнет проект или еще чего. В итоге, пришли дяди и стали объяснять ему, что кроме латиницы есть и другие языки, что кроме Англии и США есть другие страны и т.д., на что луддит ответил, что для musl это нафиг не нужно, пусть другие трахаются с этим как хотят, а вот "его" musl не трогают.
Ты вот думаешь как появилось извращение в виде punycode? Да вот именно так как выше и появилось. Группа луддитов просто не захотела патчить (в их глазах портить) код своих DNS-серверов, которые умеют только в ASCII. Кстати, из-за этого punycode нарушаются десятки RFC, в которых используются проверки на длину строки символов. В частности это касается и DNS, где максимальная длина домена 254 символа. Как думаешь кого волнует, что твой домен в зоне .рф, меньше 100 букв в формате punycode не влазеет в это ограничение? Верно, никого не волнует, не смотря на то, что любой современный DNS сервер ныне может не только в 254 байта, а во все 254 килобайта и даже не смотря на то, что ограничение UDP в 576 байт в современных сетях тоже не помеха. И я даже не стану заикаться, что в DNS over HTTPS это тем более не помеха, но вот ради "совместимости" наследие punycode будет жить еще несколько десятков лет.
> В итоге, пришли дяди и стали объяснять ему, что кроме латиницы есть и другие языки, что кроме Англии и США есть другие страны и т.д., на что луддит ответил, что для musl это нафиг не нужно, пусть другие трахаются с этим как хотят, а вот "его" musl не трогают.Справедливости ради людей в мире, которые нативно используют латиницу, и при этом не используют такое технопорно в плане кодировок как иероглифическую письменность - подавляющее большинство. Навскидку процентов под 90.
Предвижу возражение про индусов которых как бы овердохрена как и китайцев и в 90% они не лезут, но там английский - второй государственный. Поэтому поддержка хинди в софте несомненный плюс, но не обязаловка.
Для большинства юзеров в мире переключалка раскладок клавиатуры - просто дикость, причем для тех кто вообще знает о ее существовании как явления.
На момент изобретения всяких юникодов так или иначе проблема с национальными алфавитами была на местах решена и все худо бедно работало (даже в хайтечной епонии например до юникода не сильно страдали как я понимаю). С юникодом уже скоро 30 лет носятся как с писаной торбой, за это время молодые спецы его удумавшие успели детей родить и внуков дождаться, а с поддержкой юникода где жопа была там и осталась.
Найди в википедии статью "Список языков по количеству носителей", прочти и перестань нести чушъ. Я понимаю, что сейчас мы хуже людей третьего мира, но остальные люди почему должны страдать? Потому "меньшенство"? Ок, тогда да здравствует Вавилон 3000!
> людей в мире, которые нативно используют латиницу, и при этом не используют такое технопорно в плане кодировок как иероглифическую письменность - подавляющее большинство. Навскидку процентов под 90.Мир -- 7 миллиардов. Китай-Тайвань-Сингапур-Япония-Кореи -- больше полутора, причём интернет есть у большинства населения. Плюс Индия и Индокитай, алфавиты которых не влезли даже в 2-байтный Юникод -- ещё около 2 миллиардов. У них тоже интернетизация превысила 50% в любой из стран.
> Предвижу возражение про индусов которых как бы овердохрена как и китайцев и в 90% они не лезут, но там английский - второй государственный.
В Китае?
> Поэтому поддержка хинди в софте несомненный плюс, но не обязаловка.
Помимо Хинди есть всякие бенгальцы с тамилами, для которых национальные языки -- вопрос чести. Плюс, ещё раз, Индокитай.
> В Китае?В Индии. По большому счету реально тех кому потенциально был нужен юникод и с численностью которых стоит считаться - Китайцы. Но китайское письмо кроме китайцев никому не нужно, и понятнее европейцу страничка, которая раньше была полна квадратиков а теперь стала полна иероглифов все равно не становится. А решение на местах которое работало и до изобретения юникода было.
Но пришли сфероконные реформаторы-теоретики и нареформировали.
В итоге у одних все работало и до юникода потому-что какие-то помороченные кодовые страницы им нахрен не нужны, а кому нужны тоже все работало потому-что были бест практик, которые кроме них не нужны больше в мире никому.
По итогу имеем кучу принципиально нерешаемых граблей, навроде той которая в новости, умноженную на кучу граблей связанной с поддержкой в ПО всего этого Вавилона.
А я повторю: в Индии набирает силу национализм, и им всем хочется иметь свои алфавиты. И им всё аутсорсят :)
Что можно сделать? Почему-то никого это не волнует. Как и раньше, нужно делать все в рамках договоренностей. В конце концов, есть IETF, который наполовину содержит грамотных людей, готовых решать проблему (Другая половина там как и везде, вечно ноет, ничего не хочет делать, но любит получать ЗП -- личный опыт).Так вот, мое предложение.
1) каждый tld должен сам решать, что можно вводить, а что нет.
2) каждый tld размещает публично правила регистрации (чтобы не было такого, что "тайно" вчера изменились правила)
3) набор вводимых символов ограничить таким образом, чтобы результат, который хранился был всегда одним и тем же
4) ограничение символов сделать в виде алгоритма, либо таблицы и описать это в виде RFC
5) суть идеи -- если есть множество значений unicode, которые описывают 1 букву/слово, например, буква О, то на выходе результат всегда должен быть один. Например, есть русская О, английская O и европейская с умлаутом ö, в итоге все они в результате запишутся как английская O (можно и русскую, мне без разницы)Да, это потребует изменения в ПО. И что? WebAssembly внедряют с нуля? Внедряют.
Рано или поздно весь этот бардак придется исправлять. Либо запретить все национальные домены и вернуться в 95 год, где только три tld (.com, .net, .org), зато везде латиница, а че?
На самом деле пока визжат только те, кто не сделал подобной фильтрации. Почему в.рф никто об этой проблеме не кричит? Или в .cn?
> 1) каждый tld должен сам решать, что можно вводить, а что нет.И, естественно, найдется толпа идиотов которые разрешат все.
И, естественно, найдется толпа фишеров которые там зарегают все.
И, естественно, реализация этой фигни будет навороченой, глючной и с вулнами.
И, естественно, какой-нибудь TLD прикольнется, сменив правила по ходу пьесы.
Точно. Надо всем плакаться на опеннете, лишь бы ничего не делать.
>В символе первично не написание, а значениеИменно. В том то и дело, что у a, α и а одно значение, просто так сложилось, что α пишут немного по-другому.
>Ошибка же в том что для верификации аутентичности ресурсов используются строки, допускающие омоглифы.
Это очень сильно зависит как от шрифтов, так и от самой природы букв. Некоторые буквы должны быть друг на друга похожи, потому что исторически связаны. Некоторые - нет. Предлагается эту взаимосвязь положить в основу кодировки.
>А может тебе ещё и O и 0 одним и тем же, с твиком?
0 и O исторически друг с другом не связаны, именно это оправдывает перечёркивание 0. а и a связаны друг с другом, если мы изменим a, то чтобы быть последовательными нам надо изменить и а.
А можете пояснить, пожалуйста, что за «*V сертификаты»? Гуглится плохо.
https://www.ssl.com/article/dv-ov-and-ev-certificates/
> Одинаково и просто похоже выглядящие символыЗаранее определить это нельзя, увы, это зависит как минимум от используемого шрифта и библиотеки отрисовки.
Утвердить стандартный шрифт для url, подобный этому , где О и 0 выглядят по-разному.
Ну ты его сперва нарисуй для всего unicode'а то, не забыв учесть что ряд символов похожи по начертанию "by design".
Цветной шрифт для отображения разных азбук, не?
Зависит от шрифта (ничто не мешает сделать шрифт, где все символы - омоглифы), но во всех шрифтах, которые имеют шанс реально использоваться, русская а является либо омоглифом, либь довольно похожей на латинскую a.
Ошибку совершили те, кто в погоне за баблом из воздуха придумал регистрировать юникодные домены.А с юникодом все хорошо.
Проблемы индейцев шериффа не волнуют.
Только это проблема не только индейцев, но и белых людей. Ведь в данном случае индейцы гадят белым людям. И это уже шерифа волнует.
А как, вообще, там индейцы поживают?
Что-то давно не слышно их.
Вообще это проблема солонки в столовой.
Идея светлая, но непродуманная. Заглавная буква "Т" в кириллице и латинице совпадает, а строчная - нет. Что теперь, string.tolower() будет неоднозначной? А есть ещё рукописный шрифт, в котором похожа кириллическая "т" и латинская "m", при том, что в машинописном шрифте они отличаются - их объединять или как?Проблема с юникодом в приставке uni-. Он настолько универсален, что исльзование регекспа [[:alpha:]] вместо [a-zа-я] даёт неожиданный результат с другими символами. Да даже и этот регексп даёт неожиданный результат, потому что под него не подходит буква "ё".
>Заглавная буква "Т" в кириллице и латинице совпадает, а строчная - нет.У нас есть твик для языка. Но придавать ли ему значимость при сравнении строк или нет - это зависит от контекста. Функция сравнения должна возвращать 2 значения, 1 для языко-зависимого сравнения, другая - для независимого.
strcmp("<rus>t", "<eng>t") === (0, 1)
>А есть ещё рукописный шрифт, в котором похожа кириллическая "т" и латинская "m", при том, что в машинописном шрифте они отличаются - их объединять или как?
Верно, я и забыл, что такие шрифты бывают. Единственное, что тут можно сделать - это приложить к кодировке правила создателя шрифта, говорящие, что омоглифичных и похожих символов (при идентификации символа через code point новой кодироки) быть не должно, а в шрифт внедрить информацию об этом (можно автоматически без участия автора шрифта). После чего такие шрифты можно исключить из списка допустимых для использования в элементах GUI, требущих отсутствия омоглифичности.
Вот и костыли для велосипеда понадобились.
На третий год Зоркий Глаз заметил что unicode - рай для фишеров. Еще давайте в IRC3 запихаем уникод в ники, вот тогда веселуха будет :)
А ты раньше заметил? А чё молчал, фишер?
> А ты раньше заметил?У мудасофта на гитхабе регаться канительно стало, впадлу. Но если кто откоментит в IRCv3 про это, спасет вас от ряда грабель хотя-бы там.
> А чё молчал, фишер?
Я не фишер. Что, впрочем, не мешает срубить лулзов с юникода.
Что в 2005м, что в 2015м - одинаково ржачно было слать маты с "ника" модератора или заходить невидимкой на разные чатики аванпорта и гудгейма )))
Жениться тебе пора.
Это ты просто не познал радостей IRC, нуб :)
> На третий год Зоркий Глаз заметил что unicode - рай для фишеров.Настоящим раем оно стало с возможностью бесплатно-автоматического получения сертификата ;)
Ну так и до Let's Encrypt всё было плохо, были случаи подобной «подделки», проблема лишь стала более заметной.
>unicode - рай для фишеровНе Unicode рай, а дурная идея долбаных мультикультуралистов пихать национальные алфавиты куда-то кроме контента.
... кроме опеннета.Сорян, навеяло. ))))
А в идеале - и в контенте бы тоже поменьше. Развели вавилонскую башню...
#define FEATURE BUG :P
а чо прикольно
и опять это все решается отключением punycode в настройках жирнолиса
Шо, опять? Заезженная тема же.
> Актуальные браузеры Chrome и Firefox отображают подобные домены в адресной строке в нотации с префиксом "xn--"ну всё, ребята, расходимся
В той фигне которая xn-- вообще бессмысленный набор символов и ни 1 юзер не заметит даже если он полностью поменяется. Бэцкие хипстеры когда пытаются что-то пофиксить, своим хтоническим отсутствием мозгов только хуже делают.
Нда, школота тут правит бал! - С клавы ты введешь правильный урл, из закладок тоже. Это скорее про юзеров ведроида и хипстоту в целом)) А количество таких на Опеннете опасно возросло..
Херни не городи, это про фишинг.
Интересно, но не настолько, что бы проверять начал. Можно же и домен со свистоперделками из эмодзи создать, не? Из одних Эмодзи? Пляшуший член патентую. Что то тормозят бравзеры.
что сие долженстволо символизировать? общественность в неоумении ...
Общественность подумает и придумает, что бы это могло значить. Главное, сразу заявить, что это борьба за равенство и против дискриминации. Потом додумают чего именно )
> в том числе получая для них корректные TLS-сертификаты.Это как ? Разве сертификат не сравнивается с FQDN ?
Регистрируешь свой домен с подменённой буквой, полностью контролируешь его и получаешь сертификат для своего FQDN. Домен лишь выглядит похожим, но это другой полноценный отдельный домен.
Ну используйте нормальные доменные именаА то напридумывали в этих человеческих языках кучу букв похожих, ненужных и так далее.
33 или 32 в русском языке... Не помню. Ё, Й, Ъ, Щ...
Кошмар и легаси какие-то.
> Buy 🦄.ws now for USD $2948😥
Особенно весело будет, если какой-нибудь символ решат выкинуть в дальнейшем, а у тебя он - доменное имя раскрученное.
А там разве только в одном можно зарегистрировать? 💩.la уже есть, бери 🦄💩 тогда.
кстати, сердечек в юникоде целая куча ♡♥❤🎔💓💖💗💙💚💛💜🖤🤍🤎🧡
Доинтернационализировались.
Юникодобесие
дорвались блин
Никогда такого не было, и вот опять.
Я один опасности не понял?
Ну зарегистрируют, ну и что?
Теперь все варианты похожие под страшную опасность и проблему подписывать будем.Куда большая проблема утягивания сетей через BGP с которой мы живём уже десятилетия, и ничего. Вы понимаете, что вам могут целую сеть показать?! И сайт с правильными буквами, и с удостоверенным сертификатом от let's encrypt могут показать?! И кто из вас проверяет содержание подписи?
Банки свои API жопой наружу выставляют, и их парсят все, кому не лень, вас это тоже не смущает?
А тут прям проблема века! Ктот-то в адресе может визуально похожий к оригиналу зарегистрировать. Давайте с этим бороться. А ещё можно свои dns поднять и свои записи понаделать, так на популярные ресурсы ходить, но ходить оно будет на другие популярные ресурсы. А потом вам скажут, что вы всё неверно делали, вам запрещено свои DNS иметь, т.к. Роскомпозору и дяди ФСБ'нику не совсем понятно куда ты ходишь и даже притянуть к суду не получится, потому что по логам обращения будут на vk.com, а кто их обрабатывает и почему оно всё уходит на xxx.xxx это ещё нужно будет выяснить.
Есть масса способов запутать как добрых, так и плохих людей. Хватит уже выпрямлять технологии исключая глупость человеческую.
Спам кому-то мешает? Те же организации кто это курирует, понимают, что при ужесточении контроля они начнут терять деньги. Т.к. польшая часть спроса на услуги телекоммуникационные, это тёмные дельцы. Вычисти Amazon спамеров, и он раззорится. На предложение блокировать целыми подсетями спамеров, при бездействие владельцев сети, все встречают возгласами - АЙ! АЙ! Какой фашизм!
А тут похожий адрес! Сдаётся мне, что кто-то мутит воду, и создаёт проблемы на ровном месте, в то время, как реальные проблемы решать ни кто не собирается.
> проблема утягивания сетей через BGP
> с удостоверенным сертификатом от let's encryptНасколько помню, недавно добавили защиту от такого, теперь там обязательная проверка с разных сетей. Очень (очень!) масштабное "утягивание" нужно провернуть для такого.
Тут уже смущать должно само наличие центров сертификации, к которым мы "по умолчанию" доверяем.
Если юникод подразумевает каждый символ - отдельное цифровое значение. То, может быть, нужно сделать возможность увидеть адрес сайта в цифрах. Типа переключился и увидел вместо похожих букв другие цифры и сразу будет понятно, что другой сайт.
типа перключалка с букв на цифры в адресной строке браузера