...schalten Unterstützung für internationalisierte Domains aus.
Die Entwickler der Mozilla-Foundation reagieren auf den jüngst bekannt gewordenen Phishing-Trick mit Internationalized Domain Names (IDN), also beispielsweise Domains mit Umlauten im Namen: In den kommenden Beta-Versionen von Mozilla 1.8 und im geplanten Firefox 1.0.1 wird die IDN-Unterstützung ausgeschaltet. Über ein XPI werden Anwender die IDN-Unterstützung wieder einschalten können, sollen dabei aber deutlich auf die möglichen Gefahren hingewiesen werden. Diese vorläufige Lösung gab Gervase Markham für die Mozilla-Foundation bekannt.
Die Entwickler betonen nochmals, dass das Problem mit den Phishing-Attacken über manipulierte IDNs eigentlich kein Fehler der Browser sei, sondern ein Problem in der IDN-Implementation. Die Schwäche sei seit langem bekannt und es gebe Richtlinien, wie Provider, Registries und Registrare dieses Problem umgehen könnten. Trotzdem aber sehe man sich in der Verantwortung, die User vor solchen Attacken zu schützen, auch wenn die vorläufige Lösung unbefriedigend sei. Man hoffe, IDN-Support in künftigen Versionen wieder einschalten zu können; möglicherweise werde man einen Weg finden, IDNs nur für diese Top Level Domains zu ermöglichen, die sorgfältig mit den IDNs umgingen.
Mit den so genannten "homograph attacks" können Angreifer Anwendern täuschend echt gemachte Seiten im Netz unterjubeln, um Passwörter und Kreditkartennummern zu sammeln. Über ähnlich oder gleich aussehende länderspezifische Zeichen in verschiedenen Zeichensätzen werden die Anwender auf vermeintlich vertrauenswürdige Websites gelenkt, die durch die URL und auch durch die SSL-Zertifikate nicht direkt als gefälscht zu erkennen sind. Dass ähnlich aussehende Zeichen in Domain-Namen einmal Sicherheitsprobleme aufwerfen würden, findet schon im RFC 3492 Erwähnung. Mitte 2002 wiesen zudem zwei israelische Studenten ebenfalls auf dieses Problem hin. Betroffen von dem Problem sind grundsätzlich alle Browser, die IDNs unterstützen -- Microsofts Internet Explorer bietet dies in der Standardinstallation nicht, lässt sich aber durch Plug-ins für IDNs erweitern.
Ein Bericht von heise Security
Klatsch, Fakten, News, Betas 5.087 Themen, 27.849 Beiträge
Eins verstehe ich an der ganzen Sache nicht: Mir ist keine einzige vertrauenswürdige Seite im Netz bekannt, die mit Umlauten arbeitet und somit für diesen Phishing-Trick anfällig ist. Wenn ich die Lage richtig einschätze, sind diese Umlautdomains doch wohl mehr ein Gag für private Homepagebetreiber, die unbedingt mit "www.familie-schäfer.de" (statt "schaefer") im Netz vertreten sein möchten, nicht aber für "Handel, Banken und Versicherungen".
Oder einfacher gesagt: Wenn sich ein Kunde bei "www.dresdnerbank.de" einloggt, kann er dem Trick gar nicht zum Opfer fallen, weil diese URL keine Umlaute enthält. Insofern finde ich die Maßnahme, IDNs nicht mehr darzustellen, ein wenig "mit Kanonen auf Spatzen geschossen". Aber davon ab, mir wäre es egal, ich brauche diese Seiten eh nicht.
CU
Olaf