ほんとうは怖い国際化ドメイン名
2007年8月3日(金曜日)
ほんとうは怖い国際化ドメイン名
「JVN#16018033 Safari における URL の表示偽装の脆弱性 (jvn.jp)」。IPA 側の「JVN#16018033「Safari」における URL の表示偽装の脆弱性 (www.ipa.go.jp)」を見ると、IDN(国際化ドメイン名) の話のようですね。で、届出者の吉野さんに話を聞いてみたりしたのですが、なかなか興味深い話が。
IDN がまずいのは、似たような文字の紛らわしいドメインが使われてしまうということです。しかし、あからさまに紛らわしいドメインを取得しようとするとレジストラに怪しまれますから、それは難しいのではないか……。そんな風に考えていた時期が私にもありましたが、よく考えると、IDN はサブドメインにも使えるのですね。サブドメインに紛らわしい文字を使ってもどうということはない、と思うかもしれませんが、「/」をごまかされると非常に厳しいです。
※試しに未パッチの safari で「http://yahoo.com∕special∕2007∕action.do.test.minazuki.com/ (yahoo.xn--comspecial2007action-kn1mhae.do.test.minazuki.com)」なんて URL にアクセスしてみましたが、これは分かりませんね……。
- 「ほんとうは怖い国際化ドメイン名」へのコメント (2件)
関連する話題: セキュリティ
- 前(古い): 「それ町」の新刊は1巻?
- 次(新しい): 変な「へんなほうりつ」