هويت ربايي در مرورگرهاي غيرمايكروسافتي

7 فوريه 2005 - 19 بهمن 1383

يك محقق هشدار داده است كه يك نقطه ضعف در استاندارد مديريت character ser خاص در نام دامنه ها، مي تواند به يك هكر اجازه دهد تا روي مرورگرهاي غيرمايكروسافتي سايتهاي تقلبي را به جاي سايتهاي واقعي معرفي كند.

به گفته اريك يوهانسون - متخصص امنيت - اين مشكل از آنجا ناشي مي شود كه اين مرورگرها براي ارائه نام دامنه ها از شيوه اي استاندارد استفاده مي كنند و حروف و كاراكترها را در هر زباني نمايش مي دهند. اين استاندارد كه Internationalized Domain Names نام دارد به شركتها اجازه مي دهد تا نام دامنه هايي را ثبت كنند كه به نظر مي رسد در زبانهاي مختلف يكسان هستند.

يك هكر مي تواند با استفاده از اين خصوصيت يك سايت تقلبي بسازد و هويت ربايي انجام دهد. در مرورگرهاي غيرمايكروسافتي مانند Opera، Mozilla و Firefox نشاني سايت تقلبي به نظر همان نشاني سايت واقعي خواهد بود كه كاربر را به جاي سايت حقيقي و مورد اعتماد به سايت هكر رهنمون كند تا اطلاعات حساس وي را به سرقت ببرد.

بنياد موزيلا به دنبال راهي است كه بتواند اين مشكل را براي هميشه برطرف كند.

از آنجايي كه مي توان به زبانهاي مختلف دامنه ثبت كرد و مرورگرها روشهاي گوناگوني براي نمايش آن دارند و در character set گوناگون حروف و كاراكترهاي مختلفي شبيه به انگليسي وجود دارد، لذا به راحتي مي توان كاربران را با دامنه اي كاملا شبيه به دامنه واقعي فريب داد.

مايكروسافت هنوز امكان پشتيابني از IDN را براي مرورگر خود تعبيه نكرده است و لذا در معرض اين خطر قرار ندارد.