Открыть список
Как стать автором
Обновить

Комментарии 63

Не смог найти в кириллице букву " I ".
Безграмотный я не подумал, что в понятие кириллицы входит не только Русский алфавит, но и куча других.) Спасибо.
Справедливости ради скажу, что Edge и Internet Explorer предупреждают пользователя о подобных доменах специальным значком в адресной строке, хотя этих мер, безусловно, недостаточно.
Скриншоты


Кстати, буквально пару часов назад пришло письмо от «google.com» с предложением по быстрому 300 «доллпров» заработать. Я не стал разбираться, какую там они букву подменили.
Они выдают 300$ в качестве сайн-ин бонуса на google cloud. Возможно это было оно?
Уверен, что они смогли бы написать слово «доллар» без ошибок.) А ещё письмо было написано комиксансом (для крутости! профессиональные дизайнеры уважают комиксанс), в несколько размеров и с выделением жирным лёгкого заработка. В общем, 100% не от гугла.
на macos версии хрома палочка «срезанна»
image
Возможно это зависит от каких-то факторов, т.к. у меня в адресной строке выглядит нормально, а вот в тексте статьи — срезано.

image
Спасибо автору за статью! Огромное.
А разработчикам браузеров пора задуматься, о том что зелёный замочек пора и разнообразить. Например ко всем сертификатам от Let's Encrypt вполне можно на зелёный замок добавлять жёлтую полоску, как говорится история отношений уже позволяет.
Учитывая тот факт, что сертификат выписывается именно на punnycode-представление домена такой сертификат могут и продавцы воздухом подписать
Не разнообразить, а обесцветить. И вместо «безопасно» писать «шифрованое соединение»
Например ко всем сертификатам от Let's Encrypt вполне можно на зелёный замок добавлять жёлтую полоску

Чем провинился Let's Encrypt?
А как нужно было? Фейс-контроль был ввести?

Он честно давал сертификат на домен, если я правильно понял новость.

Именно.
Я никак не могу понять, почему кто-то ожидает от сертификата и УЦ проверку и подтверждение чего-либо, кроме факта владения доменом.
Вообще-то при выдачи расширенных сертификатов как раз и происходит проверка организации, их документации и прочего, так что абы кто EV сертификат не получит. Но это не относится к сертификатам с верификацией домена, какие выдаёт Let's Encrypt.

Он разве EV выдавал?

Нет и не может. Я к тому написал, что не все центры сертификации выдают только подтверждающие домен сертификаты, и что есть сертификаты, которым действительно можно доверять.
Ну а я писал про обычные серты.

которым действительно можно доверять

Доверять можно и сертификатам Let's Encrypt, вопрос в предмете доверия.
Я сталкивался с процедурой EV: они проверяют существование компании (чаще всего через агрегаторы реестров вроде http://www.dnb.com/), владение доменом, прозвонят телефон, проверят какую-нибудь админскую почту. Причем проверяют зачастую нерезиденты, не знающие национальной специфики люди (максимум, владеющие языком), и задурить им голову при желании, думаю, не сложно. Естественно, EV сертификат не гарантирует, чтосайт не мошеннический.
Ну, он стоит денег и времени, так что хоть это и не гарантия, но вероятность зайти на мошеннический сайт с EV сертификатом мала.
Поменял в фирефохе настройку, теперь стрёмно домены.рф отображаются.
в этой зоне есть что-то полезное?
надальнийвосток.рф — единственный сайт, который можно использовать в.рф нормально, остальные часто только зеркала из .ru
эмм, так себе пример, как по мне, вся эта история дурно пахнет
Мы же про сайты говорим. Это единственный известный мне пример нормального сайта в зоне.рф.
там карта не работает. Так что нет, использовать не получится )
Да вроде бы работала пару месяцев назад нормально, даже участки можно рисовать.
да, например порталы новосибирских горводоканала и жкх, через которые идет оплата находятся в зоне.рф
Только если посмотреть на сертификат SSL, то подделку можно обнаружить.

Поэтому я ненавижу нововведение в FF (хотя это уже старовведение), когда название центра сертификации скрыли из выпадашки за дополнительным кликом.
Нда, миленько. Такими темпами скоро придётся аккаунт разработчика покупать, чтобы запустить инструменты разработчика и увидеть домен сайта.
Ааа, так вот она где… А то я все думал что это разработчики Vivaldi что-то придумали, а это оказывается причуды гугла.
Зато HTTP там где HTTPS не нужен мы уже красным цветом выделяем, несекурно же.

Чем думают разработчики браузеров? Красить фон нелатинских букв не вариант? Или это только мне в голову сразу же приходит такая очевиднейшая мысль?

Вопрос следует поставить иначе: Чем думали те кто разрешал не латинские символы в качестве домена?

Не могу удержаться от цитирования себя девятилетней давности:


в пределах имени можно употреблять символы одного, и только одного алфавита, для исключения вариантов «Microsoft» с кириллической «о» или «с». Под алфавитом мы понимаем «script» в юникоде.

https://habrahabr.ru/post/28948/

Ну в статье же прямо указано, что проблема не в символах разных алфавитов.
Все слово аррӏе набрано одним алфавитом — кирилицей.

Слово apple набрано одним алфавитом, а слово "com" — другим. Я имел в виду, что один скрипт должен быть в пределах всех частей доменного имени.

Хмм, теперь я заинтересовался, можно ли зарегистрировать кириллический домен первого уровня
.арр в противовес гугловскому .app
http://xn--80ak6aa92e.xn--80a6aa/

Мне в корне не нравится подход к данной проблеме (если выполняются N условий — показываем в unicode/иначе — punicode) — я бы предпочел, чтобы для всех доменов из не-латиницы всегда дублировалось его punicode-отображение.
(а для латиницы — дублировалась латиница)
Они хотели больше бабла, о том и думали…
Можно подумать, с латиницей такие атаки невозможны. Как вы от appIe.com защититесь?

При переходе по ссылке у меня в браузере доменное имя перешло в нижний регистр, обман вскрылся.

Главное, заставить людей по ссылке кликнуть. В адресную строку потом один из десяти посмотрит. В общем, отказ от нац. символов — не панацея, увы. Хотя с ними, конечно, возможности для обмана куда богаче.
В адресную строку потом один из десяти посмотрит.

Это если в браузере вообще есть адресная строка. Боюсь, скоро придём к тому, что она станет прибамбахой only for authorized personnel.

В статье помощи о безопасном соединении к сожалению несколько упростили понятие «безопасности», смешивая «защищенное соединение» и «безопасное использование сайта»:
These symbols let you know how safe it is to visit and use a site

Look at the address bar to make sure you're on the site you want to visit
Главное, заставить людей по ссылке кликнуть

Тогда вообще достаточно google.com. (ссылка, если что, ведет на example.com)

Юникод в имени хоста не нужен, впрочем как и расширенная латиница.

Хороая мысль… мне например в голову не пришла.
Да не такая уж и плохая
На работе пользуюсь программой, в которой есть такая настройка:
image
Очень выручает в непонятных ситуациях.

Это что за программа?

Программа, к сожалению, к браузерам отношения не имеет. Привел просто как пример решения проблем с одинаковым начертанием не латинских символов.
Думаю, такое пока ещё возможно реализовать в Firefox. Но с 57 версии, когда выпилят XUL и оставят WebExtensions, всё пропадёт, так что можно и не начинать (
Интересно, а представители Vivaldi не заинтересуются таким способом решения проблемы? Может хоть этот браузер сделает у себя такую расцветку адреса?
Как вариант — также показывать (выше\ниже) имя сайта в punicode.
Боюсь, вы забываете, дизайн на первом месте. Пестрый адрес- некрасиво.
Ну, люди, никогда не сталкивающиеся с нелатинскими названиями увидят тот же https://www.аррӏе.com но при этом слово аррӏе будет подкрашено.
Google Chrome
Версия 60.0.3074.0 canary (64-bit)

Справляется на ура… Правда, надежный, тоже пишет.
В Safari Версия 10.1 12603.1.30.0.34 в отлично. Отображается www.xn--80ak6aa92e.com
image

Все таки сайт apple
Нужно более элегантное решение чем, пардон, долбиться в адресную строку — как плагин флагфокс для лисы, показывающий айпи сайта региональным флагом с дополнительной информацией, только перед урл писать «ASCII» маленькой серенькой плашечкой, или «UTF» более красной плашечкой, при наведении на плашку показывать домен в пуникоде.
Да и сам пуникод можно парсить подкрашивая его части отличимо от прямых ASCII символов.
а как насчет в скобочках рядом писать «нормальный» адрес?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.