Спецификация IDN оказалась потенциально опасной

История национальных кодировок в системе доменных имен DNS началась с того, что компания VeriSign в январе 2003 года предложила услуги по регистрации доменов с буквами, отличными от букв латинского алфавита. В марте того же года институт стандартов IETF принял три спецификации для представления национальных кодировок в структуре DNS (RFC 3490, 3491 и 3492). В этих спецификациях и определяется международные формы представления национальных кодировок — так называемые Internationalizing Domain Names (IDN). Существенно, что менять программу, которая занимается преобразованием имен в IP-адреса и обратно, не обязательно: достаточно обеспечить, чтобы спецификацию IDN поддерживали DNS-серверы и клиентские приложения.

Поддержку со стороны DNS-серверов реализовать должны были компании, которые занимаются управлением доменной структурой, в частности сама компания VeriSign. Для того чтобы получить домен с национальными символами, достаточно зарегистрировать соответствующий домен в нужной зоне (скажем, .com у VeriSign), и национальные символы будут доступны клиентам.

Однако с клиентскими приложениями, которые корректно работают с Web-адресом, соответствующим спецификации IDN, все обстоит сложнее. Дело в том, что национальные символы в соответствии с этой спецификацией в DNS хранятся как последовательности букв латинского алфавита, а уже клиентское приложение отвечает за то, чтобы подставлять вместо них национальные символы. Однако Internet Explorer версии 6 как не поддерживал, так и не поддерживает национальные кодировки в URL.

В браузерах Mozilla и Firefox поддержка спецификации IDN появилась достаточно давно. Однако в готовящихся версиях этих браузеров поддержка IDN по умолчанию выключена как потенциально опасная. Причиной тому является так называемая «гомографическая» атака.

Возможность для гомографической атаки создают именно кириллические буквы, поскольку написание некоторых из них по внешнему виду совпадает с буквами латинского алфавита. В результате для пользователя некоторые имена доменов будут также выглядеть одинаково. Так, домен micrоsoft.com, где одна из букв о — из русского алфавита, в браузере с поддержкой IDN будет выглядеть как оригинальный сайт корпорации Microsoft, однако обращение по этой ссылке приведет пользователя совсем в другое место. Такая ситуация идеальна для обмана пользователей Сети — так называемого фишинга (phishing). Суть мошенничества такого рода состоит в том, чтобы заманить посетителя на поддельный сайт (скажем, на поддельный сайт какого-нибудь банка) и выманить у него конфиденциальные сведения, которые в дальнейшем злоумышленники могут использовать в своих неблаговидных целях (часто — для воровства денег).

«Споры о необходимости поддержки кириллических букв в зоне .ru по-прежнему идут, — комментирует сложившуюся ситуацию Станислав Рачинский, ответственный секретарь Координационного центра национального домена сети Internet. — Однако, если мы и будем регистрировать домены с именами на русском языке, то только целиком, не допуская смешения букв, как это делает VeriSign. Это значительно уменьшит вероятность фишинга».


Хронология

История IDN началась с компании VeriSign и может закончиться на разработчиках Mozilla, которые в последних версиях своего браузера выключают поддержку IDN, хотя пользователи могут ее включить в дальнейшем

14 января 2003: VeriSign разрешил регистрацию национальных букв
март 2003: IETF принял спецификацию IDN
30 июня 2003: выход Netscape 7.1 с поддержкой IDN
25 февраля 2005: разработчики Mozilla выключили поддержку IDN

Поделитесь материалом с коллегами и друзьями