本周早期发布的最新版本的Google Chrome限制了如何在浏览器中显示使用非拉丁字符的域名。这种变化是为了应对最近公开的技术,可以允许攻击者创建高度可信的网络钓鱼网站。
注册由阿拉伯语,中文,西里尔文,希伯来文和其他非拉丁字母中的字符构成的域名的能力可追溯到很久以前。自2009年以来,互联网名称与数字地址分配机构(ICANN)也批准了大量使用这些字符编写的国际化顶级域名(TLD) - 域名扩展。
当使用域名系统(DNS) - 互联网的地址簿 - 国际化域名使用称为Punycode的系统转换为ASCII兼容表单。然而,当显示给浏览器和支持Unicode的其他应用程序中的用户时,它们将显示其预期的非拉丁字符,使数十亿互联网用户可以使用其母语和脚本读取域名。
虽然这对全球互联网可用性很好,但使用国际化域名确实会引发安全问题,因为某些字母包含与拉丁字母非常相似的字符,这可能会被来欺骗URL。例如,西里尔文和拉丁文脚本中的字母“a”在视觉上是相同的,即使它们是具有不同Unicode值的不同字符:U + 0430和U + 0061。
这种相似性将允许人们使用来自西里尔字母表的字母“a”创建域名apple.com,而从拉丁字母表创建其他域名。如果浏览器在地址栏中可以直观地显示apple.com,那么这样一个域名可以用来设置一个非常难以与真实网站区分开的网络钓鱼网站。
为了防止这些所谓的同型计算机攻击,浏览器执行一系列复杂的检查,以决定是否最好使用其预期脚本显示域名,或者在Punycode中显示其等同的字母。他们执行的一个规则是,如果拉丁语,西里尔字体或希腊字符混合在一起,那么将始终使用Punycode。
上面提到的apple.com域的Punycode版本,来自西里尔文的字母“a”将是:xn--pple-43d.com。这就是用户在浏览器地址栏中看到的内容。
本文属于原创文章,如若转载,请注明来源:不同语言字母混淆 域名注册 陷钓鱼网站http://net.zol.com.cn/636/6366257.html
豫公网安备 41030502000392号