Webový prohlížeč a zobrazení domény v adresním řádku

Používám převážně webový prohlížeč Librewolf, a když něco nejde (jako třeba přidávání příspěvků sem do fóra) zkusím nejdříve Firefox.

Librewolf 123.0-1 mi z nějakého důvodu zobrazuje doménové jméno v adresním řádku https://はじめよう.みんな/ jako https://xn--p8j9a0d9c9a.xn--q9jyb4c/
Firefox 123.0-1 a Opera One 107.0.5045.21 to zobrazují správně.

Zajímalo by mě jakým způsobem vlastně tohle zobrazování funguje a jelikož to librewolf evidentně blokuje, skrývá se v tom nějaké bezpečnostní riziko?

Zkoušel jsem to zobrazit i ve starších webových prohlížečích, a zdá se mi že ty toto zobrazování nepodporují (ale zase, zkoušel jsem jen eolie a midori)


Jedná se o Punycode a je to způsob, jak zakódovat libovolný Unicode znak do znaků, které jsou povolené v DNS názvech – tím vznikají IDN – doménová jména s podporou mezinárodních znaků. Pro zobrazení uživateli je samozřejmě určena ta varianta s Unicode znaky. Staré prohlížeče to nepodporují, nepodporují to ani některé moderní prohlížeče – buď to považují za nepodstatnou maličkost, nebo se vymlouvají na bezpečnost.

Existují druhy útoků, které vycházejí z toho, že některé znaky v Unicode jsou si vizuálně velmi podobné nebo jsou stejné (IDN homograph attack). Útočník si pak může zaregistrovat doménu, která pro uživatele vypadá stejně, jako jiná pro útočníka zajímavá doména. Brání se tomu tak, že některé doménové registry neumožňují registrovat libovolný znak nebo libovolné kombinace znaků. Prohlížeče se tomu mohou bránit tak, že výrazně upozorní uživatele, pokud by se v doménovém jménu míchaly znaky z různých abeced – pokud by např. v doménovém jméně psaném latinkou byl jeden znak cyrilice. Ovšem některé prohlížeče, než aby tohle implementovaly, zobrazí ten název zakódovaný do Punycode určený pro stroje a tváří se, že je to pro bezpečnost uživatele. Z vašeho příkladu je vidět, že samozřejmě není, protože Punycode člověk nepřečte a je to pro něj nepochopitelná změť znaků.

jjrsk

  • *****
  • 603
    • Zobrazit profil
а vs a

A ne, vazne to nejsou dva stejne znaky.