Anzeige

Entwarnung: Mozilla schaltet Umlaut-Domains nicht ab (Upd.)

Kommende Versionen von Mozilla und Firefox umgehen Phishing-Attacken

Das Mozilla-Team wird die Unterstützung der "International Domain Names" (IDN) entgegen ersten Plänen doch nicht in seinen Web-Browsern deaktivieren. Stattdessen hat man eine Möglichkeit gefunden, die durch Umlaut-Domains möglichen Phishing-Angriffe zu unterbinden. Dazu wird die IDN-Unterstützung in den kommenden Versionen von Firefox und Mozilla überarbeitet. Auch 8.0 Opera soll so erweitert werden, dass derartige Angriffe wirksam unterbunden werden.

Anzeige

Die bislang von den Phishing-Angriffen betroffenen Web-Browser haben die Unterstützung der "International Domain Names" (IDN) korrekt implementiert, allerdings gestattet dies Angreifern, eine URL zu fälschen und so Nutzer auf eine andere Domain zu locken, was in den meisten Fällen nicht auffällt. Die Mozilla-Entwickler haben sich nun entschieden, die IDN-Unterstützung zu beschneiden, um solche Angriffe unmöglich zu machen.

International Domain Names werden im so genannten Punycode angezeigt, um derartige Phishing-Angriffe auszuschließen. Das bedeutet, dass Domains mit Umlauten nicht mehr als solche im Browser, sondern eben in Punycode-Schreibung erscheinen. Statt der URL "bücher" wird dann die Adresse "xn--bcher-kva" angezeigt und auch der bekannte Phishing-Angriff mit einer gefälschten Paypal-URL ist dann nicht mehr möglich. Die gefälschte, mit einem kyrillischen "a" geschriebene URL paypal.com gleicht in vielen Fonts der URL, wenn sie nur mit lateinischen "a"s geschrieben wird. Der Punycode-Modus sorgt dann aber dafür, dass die tatsächliche URL "xn--pypal-4ve.com" hinter der gefälschten paypal-Adresse erscheint.

Die Umsetzung der International Domain Names (IDN) erlaubt einem Angreifer, Phishing-Attacken, URLs und auch Link-Angaben erfolgreich zu fälschen. Dadurch kann ein Opfer in den Glauben versetzt werden, Daten an eine vertrauenswürdige Instanz zu übermitteln und so etwa vertrauliche Daten in die Hände von Betrügern geben. Das Problem ist derzeit in allen Browsern enthalten, die IDN unterstützen, wozu Mozilla, Firefox, Camino, Safari, Opera, Omniweb und Konqueror gehören. Aber auch VeriSigns Umlaut-Domain-Erweiterung für den Internet Explorer weist das Problem auf. Der Internet Explorer selbst ist davon nicht betroffen, weil der Microsoft-Browser selbst bis heute keine IDN-Unterstützung besitzt.

Auch Opera überlegt nach Angaben von BetaNews.com derzeit, wie man die Phishing-Angriffe über IDN im Browser unmöglich machen kann. Entsprechende Verfahren sollen in einer kommenden Vorabversion von Opera 8.0 integriert werden. Nach wie vor sieht Opera vielmehr die Domain-Registrierungsstellen in der Pflicht. So müssten die Registrierungsstellen sicherstellen, dass entsprechende Domains überhaupt nicht registriert werden können. Das würde Phishing-Angriffe wirksam unterbinden, ohne dass die Browser-Nutzer Kompromisse eingehen müssen, wie etwa die Pläne der Mozilla-Entwickler zeigen.

Die überarbeitete IDN-Unterstützung soll in Firefox 1.0.1, Mozilla 1.7.6 und der nächsten Beta-Version von Mozilla 1.8 integriert werden. Nach den derzeitigen Plänen wird eine Einstellung im Browser gestatten, die Punycode-Ansicht wieder zu deaktivieren, um International Domain Names so zu erhalten, wie es bislang der Fall ist. Aber dies birgt weiterhin die Gefahr, Opfer eines Phishing-Angriffs zu werden.

Nachtrag vom 21. Februar 2005 um 12:25 Uhr:
Für den Mozilla-Browser Firefox arbeitet Mario Müller an einer Erweiterung, die einen anderen Weg geht, sich vor IDN-Phishing-Angriffen zu schützen. Sobald eine IDN in Firefox geöffnet wird, informiert ein Icon darüber und es erscheint ein Pop-up, das auf die dahinter steckende Gefahr hinweist und den Punycode zusätzlich zur IDN anzeigt. Derzeit befindet sich die Erweiterung "IDN Info" noch im Alpha-Stadium, so dass es beim Einsatz der Firefox-Erweiterung noch zu Fehlern kommen kann, warnt der Entwickler.


eye home zur Startseite
Mario Müller 23. Feb 2005

Genau das macht IDN Info. Mario

panzi 23. Feb 2005

das ist auch eine gute idee. würde das zusätzlich zu meiner ( http://forum.golem.de/read...

panzi 23. Feb 2005

Es wäre schon geholfen wenn bei jeder punny code ulr rechts in der url bar ein...

Calain80 21. Feb 2005

Genau. www.das-örtliche.de ist nicht sinnvoll. Vor allem, da die ja extra Werbung...

Ozzy - alt 21. Feb 2005

Wo ist denen denn diese Lösung eingefallen? Auf dem Klo? Anstatt den Schwachsinn Umlaut...

Kommentieren



Anzeige

  1. Softwareentwickler (m/w) (JavaEE)
    XClinical GmbH, München
  2. Featureteamleiter im Bereich Video (m/w)
    Robert Bosch GmbH, Leonberg
  3. Deputy Business System Owner BPM/PM Tool (m/w)
    Daimler AG, Stuttgart
  4. Applikationsingenieur/in ESP - Systemerprobung im Fahrversuch
    Robert Bosch GmbH, Abstatt

Detailsuche



Anzeige
Top-Angebote
  1. NEU: ASUS GeForce GTX 1080 bei Amazon bestellbar
    756,73€ (UVP 789€)
  2. VORBESTELLBAR: ASUS GeForce GTX 1080 Founders Edition
    789,00€
  3. NUR BIS SAMSTAG: Xbox One 1TB Rainbow Six Siege + Vegas 1 & 2 Bundle
    299,00€ inkl. Versand

Weitere Angebote


Folgen Sie uns
       


  1. 100 MBit/s

    Telekom stattet zwei Städte mit Vectoring aus

  2. Sprachassistent

    Voßhoff will nicht mit Siri sprechen

  3. Sailfish OS

    Jolla bringt exklusives Smartphone nur für Entwickler

  4. Projektkommunikation

    Tausende Github-Nutzer haben Kontaktprobleme

  5. Lebensmittel-Lieferdienst

    Amazon Fresh soll doch in Deutschland starten

  6. Buglas

    Verband kritisiert Rückzug der Telekom bei Fiber To The Home

  7. Apple Store

    Apple darf keine Geschäfte in Indien eröffnen

  8. Mitsubishi MRJ90 und MRJ70

    Japans Regionaljet ist erst der Anfang

  9. Keysweeper

    FBI warnt vor Spion in USB-Ladegerät

  10. IBM-Markenkooperation

    Warum Watson in die Sesamstraße zieht



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
GPD XD im Test: Zwischen Nintendo 3DS und PS Vita ist noch Platz
GPD XD im Test
Zwischen Nintendo 3DS und PS Vita ist noch Platz
  1. Playstation 4 Rennstart für Gran Turismo Sport im November 2016
  2. Project Spark Microsoft stellt seinen Spieleeditor ein
  3. AMD Drei Konsolen-Chips für 2017 angekündigt

Xiaomi Mi5 im Test: Das fast perfekte Top-Smartphone
Xiaomi Mi5 im Test
Das fast perfekte Top-Smartphone
  1. YI 4K Xiaomi greift mit 4K-Actionkamera GoPro an

Hyperloop Global Challenge: Jeder will den Rohrpostzug
Hyperloop Global Challenge
Jeder will den Rohrpostzug
  1. Hyperloop HTT will seine Rohrpostzüge aus Marvel-Material bauen
  2. Hyperloop One Der Hyperloop fährt - wenn auch nur kurz
  3. Inductrack Hyperloop schwebt ohne Strom

  1. Re: Irgendwie kann man wieder gleich beim PC...

    Sharra | 03:58

  2. Re: Finde ich gut, und plötzlich wächst die...

    Bate | 03:54

  3. Re: Sehr geehrte Frau Voßhoff

    bombinho | 03:26

  4. Re: Schönes Strohfeuer

    bombinho | 03:20

  5. Intex Aquafish für Europa

    Thaodan | 03:01


  1. 19:05

  2. 17:50

  3. 17:01

  4. 14:53

  5. 13:39

  6. 12:47

  7. 12:30

  8. 12:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel