Spójrz na następujące dwie nazwy domen. Wyglądają dokładnie tak samo, prawda?

аррӏе.com apple.com

Ale nie są! Niższy jest w rzeczywistości domeną producenta Maca i iPhone'a Apple. Górny jednak tylko tak wygląda. Jeśli skopiujesz domenę i prześlesz ją do wiersza adresu w Firefoksie, trafisz tutaj:

Co się stało z „Apple”? $ ('. magnificPopup'). magnificPopup ({
typ: 'obraz'
});

Na szczęście nie jest to niebezpieczna strona, ale strona informatyka, który w swoim wpisie na blogu zwraca uwagę na niebezpieczny problem, o którym wiadomo od dawna.

W zestawie znaków Unicode znajduje się nie tylko nasz zachodni alfabet plus cyfry i znaki specjalne, ale także znaki z wielu innych zestawów znaków, np. cyrylicy. Niektóre z tych znaków są łudząco podobne do naszych. Niebezpieczeństwo istniało dopiero odkąd możliwe stały się umiędzynarodowione nazwy domen. Są to nazwy domen zawierające znaki spoza alfabetu zachodniego (właściwie angielskiego). Umożliwiło to również w tamtym czasie domeny umlautowe (np. sprüngli.ch z ü zamiast ue). W tle nazwy domen są konwertowane na tak zwany kod Punycode w celu zapewnienia wstecznej kompatybilności.

Problem z umiędzynarodowionymi nazwami domen jest niebezpieczny, ponieważ oszuści mogą ich używać, aby zwabić nawet bardzo ostrożnych użytkowników na fałszywe strony internetowe. Przyczyna została już rozwiązana w niektórych przeglądarkach. Na przykład Internet Explorer w systemie Windows 7 podczas próby surfowania po domenie zmanipulowanej znakami Unicode wyszukuje: „Plik (sic!) Аррӏе.com nie został znaleziony”. Wydaje się, że w ogóle nie rozumie takich nazw domen. Tym razem wybaczamy mu, że nie jest w stanie czegoś zrobić. Przeglądarka Google Chrome otwiera stronę, ale konwertuje znaki Unicode w wierszu adresu bezpośrednio na Punycode, który dla użytkowników wygląda bardziej jak mieszanina znaków. Tutaj użytkownik powinien zauważyć, że coś jest nie tak. Nawiasem mówiąc, przeglądarka Microsoft Edge zachowuje się w ten sam sposób w systemie Windows 10.

Chrome wyświetla witrynę, ale ujawnia kodowanie Puny $ ('. MagnificPopup'). MagnificPopup ({
typ: 'obraz'
});

Spośród rozpowszechnionych przeglądarek tylko Firefox ukrywa fakt, że domena chce zwabić ich w pułapkę.

Ale jak możemy ci udowodnić, że „аррӏе.com” to nie te same znaki, co „apple.com”? Oto kilka rzeczy, które możesz wypróbować samodzielnie.

Używamy Excela do pomocy i umieszczamy pierwsze pięć liter fałszywej domeny „аррӏе.com” w komórce Excela od A1 do E1, tak jak pierwszych pięć liter prawdziwej domeny Apple, apple.com, w A4 do E4. Zaraz pod tym możemy użyć funkcji UNICODE (np. = UNICODE (A1)), aby wyświetlić numer odpowiedniego znaku.

Excel pomaga zrozumieć fałszywe znaki $ ('. MagnificPopup'). MagnificPopup ({
typ: 'obraz'
});

Widać już, że górne litery to znaki Unicode 1072, 1088, 1088, 1231 i 1077, czyli zupełnie inne od dolnych: 97, 112, 112, 108 i 101.

zaradzić

Przykład z Excelem służył jedynie do zilustrowania problemu. Logiczne jest, że nie można teraz poddawać każdego linku tak skomplikowanej kontroli w programie Excel przed kliknięciem na niego. Istnieje jednak obejście dla Firefoksa, które pokazuje również wariant Punycode podczas wywoływania domeny. W pasku adresu przeglądarki Firefox wpisz about: config (bez spacji), naciśnij Enter i kliknij przycisk Jestem świadomy zagrożeń.

U góry pola wyszukiwania wpisz network.IDN_show_punycode.

To jest wpis do przełączania $ ('. MagnificPopup'). MagnificPopup ({
typ: 'obraz'
});

Zmień ten wpis na True, klikając dwukrotnie, a następnie zamknij kartę konfiguracji. Jeśli chcesz teraz odwiedzić fałszywą stronę «аррӏе.com», Firefox wyświetli również wariant domeny Punycode: https://xn--80ak6aa92e.com/.

Teraz możesz zobaczyć, że domena w Firefoksie nie jest zwykłym znakiem $ ('.MagnificPopup').
typ: 'obraz'
});

Nie panikuj: nie każda domena znaków specjalnych (lub ich kod Punycode) jest niebezpieczna. Jeśli teraz odwiedzasz całkowicie nieszkodliwą domenę z umlautami, kod Punycode będzie również wyświetlany dla tej domeny. Ale to normalne. Wiele firm o ugruntowanej pozycji przekierowuje domeny z umlautami, takie jak orellfüssli.ch lub sprüngli.ch, na zarejestrowane od lat warianty z ae, oe i ue (np. spruengli.ch).