Da hab ich mich noch vor ein paar Tagen aufgeregt, daß die Unterstützung für IDN („Umlautdomains“) wegen der Phishingattacken aus Mozilla verschwindet. Zum Glück haben sichs die Entwickler noch einmal anders überlegt.
Die Lösung ist genauso einfach wie genial: Wieso sollte man die IDN-Unterstützung rausnehmen, wenn man die Domains doch einfach in Punycode anzeigen kann? Im aktuellen Nightly vom 21.02.05 funktioniert das, wie man auf dem Screenshot sieht, schon sehr gut.
Sehr nett sieht auch die Erweiterung für Firefox aus. Dieser warnt den User mit einem Popup und einem IDN-Logo als Favicon. Wobei das eher wieder was für genau DIE Benutzer ist, die fröhlich auf die kyrillischen Paypal-Links geklickt haben. Mir persönlich reicht die normale „Warnung“ im Mozilla vollkommen aus.
Das hilft zwar gegen den „Paypal“-Punycode Exploit, aber hilft reichlich wenig wenn jemand z.B. Deine Domain exploiten will und ein kyrillisches „u“ oder so unterschleust.
Welcher normalsterbliche kann erkennen ob eine Puny-Code Domain korrekt oder gefaked ist?
Ja, stimmt. Dieses Problem ist mir heute Nacht dann auch bewußt geworden. Aber es hilft bei so Geschichten wie eben Paypal schon. Eben bei Domains, wo du weißt, daß sie keine Sonderzeichen enthalten. Bei http://www.münchen.de eher nicht. Es hemmt die Verbreitung von IDN schon etwas. Ich denke mal, SSL (sprich Bestellungen o.ä.) über Domains mit Sonderzeichen sollte man generell meiden, dann ist man (fast) auf der sicheren Seite.
Nach 6 Alphas kommt nun die erste Beta für Mozilla 1.8. Die Veränderungen sehen nach reinen Bugfixes aus. Trotzdem kann ich jedem nur raten, diese Version zu installieren, da unter anderem auch IDN Domains als Punycode angezeigt werden. Wegen diesem Probl