هویت ربایی در مرورگرهای غیرمایکروسافتی

7 فوریه 2005 - 19 بهمن 1383

یک محقق هشدار داده است که یک نقطه ضعف در استاندارد مدیریت character ser خاص در نام دامنه ها، می تواند به یک هکر اجازه دهد تا روی مرورگرهای غیرمایکروسافتی سایتهای تقلبی را به جای سایتهای واقعی معرفی کند.

به گفته اریک یوهانسون - متخصص امنیت - این مشکل از آنجا ناشی می شود که این مرورگرها برای ارائه نام دامنه ها از شیوه ای استاندارد استفاده می کنند و حروف و کاراکترها را در هر زبانی نمایش می دهند. این استاندارد که Internationalized Domain Names نام دارد به شرکتها اجازه می دهد تا نام دامنه هایی را ثبت کنند که به نظر می رسد در زبانهای مختلف یکسان هستند.

یک هکر می تواند با استفاده از این خصوصیت یک سایت تقلبی بسازد و هویت ربایی انجام دهد. در مرورگرهای غیرمایکروسافتی مانند Opera، Mozilla و Firefox نشانی سایت تقلبی به نظر همان نشانی سایت واقعی خواهد بود که کاربر را به جای سایت حقیقی و مورد اعتماد به سایت هکر رهنمون کند تا اطلاعات حساس وی را به سرقت ببرد.

بنیاد موزیلا به دنبال راهی است که بتواند این مشکل را برای همیشه برطرف کند.

از آنجایی که می توان به زبانهای مختلف دامنه ثبت کرد و مرورگرها روشهای گوناگونی برای نمایش آن دارند و در character set گوناگون حروف و کاراکترهای مختلفی شبیه به انگلیسی وجود دارد، لذا به راحتی می توان کاربران را با دامنه ای کاملا شبیه به دامنه واقعی فریب داد.

مایکروسافت هنوز امکان پشتیابنی از IDN را برای مرورگر خود تعبیه نکرده است و لذا در معرض این خطر قرار ندارد.