Комментарии 63
Не смог найти в кириллице букву " I ".
Справедливости ради скажу, что Edge и Internet Explorer предупреждают пользователя о подобных доменах специальным значком в адресной строке, хотя этих мер, безусловно, недостаточно.
Скриншоты
Кстати, буквально пару часов назад пришло письмо от «google.com» с предложением по быстрому 300 «доллпров» заработать. Я не стал разбираться, какую там они букву подменили.
Они выдают 300$ в качестве сайн-ин бонуса на google cloud. Возможно это было оно?
на macos версии хрома палочка «срезанна»
Спасибо автору за статью! Огромное.
А разработчикам браузеров пора задуматься, о том что зелёный замочек пора и разнообразить. Например ко всем сертификатам от Let's Encrypt вполне можно на зелёный замок добавлять жёлтую полоску, как говорится история отношений уже позволяет.
А разработчикам браузеров пора задуматься, о том что зелёный замочек пора и разнообразить. Например ко всем сертификатам от Let's Encrypt вполне можно на зелёный замок добавлять жёлтую полоску, как говорится история отношений уже позволяет.
Учитывая тот факт, что сертификат выписывается именно на punnycode-представление домена такой сертификат могут и продавцы воздухом подписать
Не разнообразить, а обесцветить. И вместо «безопасно» писать «шифрованое соединение»
Например ко всем сертификатам от Let's Encrypt вполне можно на зелёный замок добавлять жёлтую полоску
Чем провинился Let's Encrypt?
А как нужно было? Фейс-контроль был ввести?
Он честно давал сертификат на домен, если я правильно понял новость.
Именно.
Я никак не могу понять, почему кто-то ожидает от сертификата и УЦ проверку и подтверждение чего-либо, кроме факта владения доменом.
Я никак не могу понять, почему кто-то ожидает от сертификата и УЦ проверку и подтверждение чего-либо, кроме факта владения доменом.
НЛО прилетело и опубликовало эту надпись здесь
Он разве EV выдавал?
НЛО прилетело и опубликовало эту надпись здесь
Ну а я писал про обычные серты.
Доверять можно и сертификатам Let's Encrypt, вопрос в предмете доверия.
Я сталкивался с процедурой EV: они проверяют существование компании (чаще всего через агрегаторы реестров вроде http://www.dnb.com/), владение доменом, прозвонят телефон, проверят какую-нибудь админскую почту. Причем проверяют зачастую нерезиденты, не знающие национальной специфики люди (максимум, владеющие языком), и задурить им голову при желании, думаю, не сложно. Естественно, EV сертификат не гарантирует, чтосайт не мошеннический.
которым действительно можно доверять
Доверять можно и сертификатам Let's Encrypt, вопрос в предмете доверия.
Я сталкивался с процедурой EV: они проверяют существование компании (чаще всего через агрегаторы реестров вроде http://www.dnb.com/), владение доменом, прозвонят телефон, проверят какую-нибудь админскую почту. Причем проверяют зачастую нерезиденты, не знающие национальной специфики люди (максимум, владеющие языком), и задурить им голову при желании, думаю, не сложно. Естественно, EV сертификат не гарантирует, чтосайт не мошеннический.
Поменял в фирефохе настройку, теперь стрёмно домены.рф отображаются.
в этой зоне есть что-то полезное?
надальнийвосток.рф — единственный сайт, который можно использовать в.рф нормально, остальные часто только зеркала из .ru
да, например порталы новосибирских горводоканала и жкх, через которые идет оплата находятся в зоне.рф
НЛО прилетело и опубликовало эту надпись здесь
В Хроме сертификат вообще запрятали в Dev Tools: https://superuser.com/questions/1160502/how-to-view-ssl-certificate-details-on-chrome.
Вспоминается ещё этот баг.
Чем думают разработчики браузеров? Красить фон нелатинских букв не вариант? Или это только мне в голову сразу же приходит такая очевиднейшая мысль?
Вопрос следует поставить иначе: Чем думали те кто разрешал не латинские символы в качестве домена?
Не могу удержаться от цитирования себя девятилетней давности:
в пределах имени можно употреблять символы одного, и только одного алфавита, для исключения вариантов «Microsoft» с кириллической «о» или «с». Под алфавитом мы понимаем «script» в юникоде.
Ну в статье же прямо указано, что проблема не в символах разных алфавитов.
Все слово аррӏе набрано одним алфавитом — кирилицей.
Все слово аррӏе набрано одним алфавитом — кирилицей.
Слово apple набрано одним алфавитом, а слово "com" — другим. Я имел в виду, что один скрипт должен быть в пределах всех частей доменного имени.
Хмм, теперь я заинтересовался, можно ли зарегистрировать кириллический домен первого уровня
.арр в противовес гугловскому .app
http://xn--80ak6aa92e.xn--80a6aa/
Мне в корне не нравится подход к данной проблеме (если выполняются N условий — показываем в unicode/иначе — punicode) — я бы предпочел, чтобы для всех доменов из не-латиницы всегда дублировалось его punicode-отображение.
(а для латиницы — дублировалась латиница)
.арр в противовес гугловскому .app
http://xn--80ak6aa92e.xn--80a6aa/
Мне в корне не нравится подход к данной проблеме (если выполняются N условий — показываем в unicode/иначе — punicode) — я бы предпочел, чтобы для всех доменов из не-латиницы всегда дублировалось его punicode-отображение.
(а для латиницы — дублировалась латиница)
Они хотели больше бабла, о том и думали…
Можно подумать, с латиницей такие атаки невозможны. Как вы от appIe.com защититесь?
При переходе по ссылке у меня в браузере доменное имя перешло в нижний регистр, обман вскрылся.
Главное, заставить людей по ссылке кликнуть. В адресную строку потом один из десяти посмотрит. В общем, отказ от нац. символов — не панацея, увы. Хотя с ними, конечно, возможности для обмана куда богаче.
В адресную строку потом один из десяти посмотрит.
Это если в браузере вообще есть адресная строка. Боюсь, скоро придём к тому, что она станет прибамбахой only for authorized personnel.
В статье помощи о безопасном соединении к сожалению несколько упростили понятие «безопасности», смешивая «защищенное соединение» и «безопасное использование сайта»:
These symbols let you know how safe it is to visit and use a site
Look at the address bar to make sure you're on the site you want to visit
Главное, заставить людей по ссылке кликнуть
Тогда вообще достаточно google.com. (ссылка, если что, ведет на example.com)
Юникод в имени хоста не нужен, впрочем как и расширенная латиница.
Хороая мысль… мне например в голову не пришла.
На работе пользуюсь программой, в которой есть такая настройка:
Очень выручает в непонятных ситуациях.
Очень выручает в непонятных ситуациях.
Это что за программа?
Программа, к сожалению, к браузерам отношения не имеет. Привел просто как пример решения проблем с одинаковым начертанием не латинских символов.
Как вариант — также показывать (выше\ниже) имя сайта в punicode.
Боюсь, вы забываете, дизайн на первом месте. Пестрый адрес- некрасиво.
Ну, люди, никогда не сталкивающиеся с нелатинскими названиями увидят тот же https://www.аррӏе.com но при этом слово аррӏе будет подкрашено.
Google Chrome
Версия 60.0.3074.0 canary (64-bit)
Справляется на ура… Правда, надежный, тоже пишет.
Версия 60.0.3074.0 canary (64-bit)
Справляется на ура… Правда, надежный, тоже пишет.
В Safari Версия 10.1 12603.1.30.0.34 в отлично. Отображается www.xn--80ak6aa92e.com
Все таки сайт apple
Все таки сайт apple
Нужно более элегантное решение чем, пардон, долбиться в адресную строку — как плагин флагфокс для лисы, показывающий айпи сайта региональным флагом с дополнительной информацией, только перед урл писать «ASCII» маленькой серенькой плашечкой, или «UTF» более красной плашечкой, при наведении на плашку показывать домен в пуникоде.
Да и сам пуникод можно парсить подкрашивая его части отличимо от прямых ASCII символов.
Да и сам пуникод можно парсить подкрашивая его части отличимо от прямых ASCII символов.
а как насчет в скобочках рядом писать «нормальный» адрес?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Chrome 58 залатает защиту от омографических атак