هويت ربايي در مرورگرهاي غيرمايكروسافتي
7 فوريه 2005 - 19 بهمن 1383
يك محقق هشدار داده است كه يك نقطه ضعف در استاندارد مديريت
character ser
خاص در نام دامنه ها، مي تواند به يك هكر اجازه دهد تا روي
مرورگرهاي غيرمايكروسافتي سايتهاي تقلبي را به جاي سايتهاي
واقعي معرفي كند.
به گفته اريك يوهانسون - متخصص امنيت - اين مشكل از آنجا ناشي
مي شود كه اين مرورگرها براي ارائه نام دامنه ها از شيوه اي
استاندارد استفاده مي كنند و حروف و كاراكترها را در هر زباني
نمايش مي دهند. اين استاندارد كه
Internationalized Domain Names
نام دارد به شركتها اجازه مي دهد تا نام دامنه هايي را ثبت
كنند كه به نظر مي رسد در زبانهاي مختلف يكسان هستند.
يك هكر مي تواند با استفاده از اين خصوصيت يك سايت تقلبي بسازد
و
هويت ربايي انجام دهد. در مرورگرهاي غيرمايكروسافتي مانند
Opera،
Mozilla
و
Firefox
نشاني سايت تقلبي به نظر همان نشاني سايت واقعي خواهد بود كه
كاربر را به جاي سايت حقيقي و مورد اعتماد به سايت هكر رهنمون
كند تا اطلاعات حساس وي را به سرقت ببرد.
بنياد موزيلا به دنبال راهي است كه بتواند اين مشكل را براي
هميشه برطرف كند.
از آنجايي كه مي توان به زبانهاي مختلف دامنه ثبت كرد و
مرورگرها روشهاي گوناگوني براي نمايش آن دارند و در
character set
گوناگون حروف و كاراكترهاي مختلفي شبيه به انگليسي وجود دارد،
لذا به راحتي مي توان كاربران را با دامنه اي كاملا شبيه به
دامنه واقعي فريب داد.
مايكروسافت هنوز امكان پشتيابني از
IDN
را براي مرورگر خود تعبيه نكرده است و لذا در معرض اين خطر
قرار ندارد. |