clovery clipbook

2005-02-08 (Tue)

[][][] 国際化ドメイン名処理に起因する表示偽装の脆弱性OperaFirefoxなどに影響 15:48

http://www.itmedia.co.jp/enterprise/articles/0502/08/news028.html

具体的には、リンク先として「http://www.paypаl.com/」のような文字列を仕掛けておく。脆弱性のある(=IDN対応の)ブラウザでこのリンククリックすると、Punycode変換の結果「http://www.xn--pypal-4ve.com」というまったく異なるWebサイトアクセスするにも関わらず、アドレスバーには「http://www.paypаl.com/」と表記されてしまう。ジャンプ前にマウスを当該URL にかざした場合も、ステータスバーには「http://www.paypаl.com/」と表示される。

うーん、これどうにかなるのかなー。あー、見た目似てるのを脆弱って言ってるのね。それは違うなあ。

トラックバック - http://clipping.g.hatena.ne.jp/topia/20050208