ஃபிஷிங் களங்களை யூனிகோட் எழுத்துகளுடன் பதிவு செய்ய ஒரு பிழை அனுமதிக்கப்படுகிறது

Darkcrizt

4 நிமிடங்கள்

ஃபிஷிங் வலைத்தளம்

சில நாட்களுக்கு முன்பு தி கரையக்கூடிய ஆராய்ச்சியாளர்கள் தங்கள் புதிய கண்டுபிடிப்பை வெளியிட்டனர் de ஹோமோகுளிஃப்களுடன் களங்களை பதிவு செய்வதற்கான புதிய வழி அவை பிற களங்களைப் போலவே இருக்கின்றன, ஆனால் வேறுபட்ட பொருளைக் கொண்ட எழுத்துக்கள் இருப்பதால் உண்மையில் வேறுபடுகின்றன.

சர்வதேசமயமாக்கப்பட்ட களங்கள் என்றார் (ஐடிஎன்) முதல் பார்வையில் வேறுபடக்கூடாது அறியப்பட்ட நிறுவனம் மற்றும் சேவை களங்களிலிருந்து, அவற்றை சரியான டி.எல்.எஸ் சான்றிதழ்களைப் பெறுவது உட்பட, அவற்றை ஏமாற்றுவதற்குப் பயன்படுத்த அனுமதிக்கிறது.

இந்த களங்களின் வெற்றிகரமான பதிவு சரியான களங்களைப் போல் தெரிகிறது மற்றும் நன்கு அறியப்பட்ட, மற்றும் நிறுவனங்கள் மீது சமூக பொறியியல் தாக்குதல்களை நடத்த பயன்படுத்தப்படுகின்றன.

கரையக்கூடிய ஆராய்ச்சியாளரான மாட் ஹாமில்டன், பல களங்களை பதிவு செய்ய முடியும் என்பதை அடையாளம் கண்டார் யூனிகோட் லத்தீன் ஐபிஏ நீட்டிப்பு எழுத்தை (ɑ மற்றும் as போன்றவை) பயன்படுத்தி பொதுவான உயர்-நிலை (ஜி.டி.எல்.டி), மேலும் பின்வரும் களங்களையும் பதிவு செய்ய முடிந்தது.

வெவ்வேறு எழுத்துக்களிலிருந்து எழுத்துக்களைக் கலப்பதைத் தடைசெய்ததன் காரணமாக, வெளிப்படையாக ஒத்த ஐடிஎன் டொமைன் வழியாக உன்னதமான மாற்று நீண்ட காலமாக உலாவிகள் மற்றும் பதிவாளர்களில் தடுக்கப்பட்டுள்ளது. எடுத்துக்காட்டாக, கலப்பு டொமைன் ஆப்பிள்.காம் ("xn--pple-43d.com") லத்தீன் "a" (U + 0061) ஐ சிரிலிக் "a" (U + 0430) உடன் மாற்றுவதன் மூலம் உருவாக்க முடியாது. வெவ்வேறு எழுத்துக்களிலிருந்து வரும் எழுத்துக்களின் தேர்ச்சி அனுமதிக்கப்படாது.

2017 ஆம் ஆண்டில், அத்தகைய பாதுகாப்பைத் தவிர்ப்பதற்கான ஒரு வழி கண்டுபிடிக்கப்பட்டது லத்தீன் எழுத்துக்களைப் பயன்படுத்தாமல், டொமைனில் யூனிகோட் எழுத்துக்களை மட்டுமே பயன்படுத்துவதன் மூலம் (எடுத்துக்காட்டாக, லத்தீன் போன்ற எழுத்துக்களைக் கொண்ட மொழி எழுத்துக்களைப் பயன்படுத்துதல்).

இப்போது பாதுகாப்பைத் தவிர்ப்பதற்கான மற்றொரு முறை கண்டறியப்பட்டுள்ளது, பதிவாளர்கள் தடுக்கும் உண்மையின் அடிப்படையில் லத்தீன் மற்றும் யூனிகோட் கலவை, ஆனால் டொமைனில் குறிப்பிடப்பட்டுள்ள யூனிகோட் எழுத்துக்கள் லத்தீன் எழுத்துக்களின் குழுவிற்கு சொந்தமானவை என்றால், எழுத்துக்கள் ஒரே எழுத்துக்களைச் சேர்ந்தவையாக இருப்பதால், அத்தகைய கலவை அனுமதிக்கப்படுகிறது.

சிக்கல் என்னவென்றால் யூனிகோட் லத்தீன் ஐபிஏ நீட்டிப்பு மற்ற லத்தீன் எழுத்துக்களுக்கு ஒத்த எழுத்துக்களில் ஒத்த ஹோமோகிளிஃப்கள் உள்ளன: "ɑ" சின்னம் "a", "ɡ" - "g", "ɩ" - "l" ஐ ஒத்திருக்கிறது.

சுட்டிக்காட்டப்பட்ட யூனிகோட் எழுத்துகளுடன் லத்தீன் கலந்த களங்களை பதிவு செய்யும் திறன் வெரிசைன் பதிவாளருடன் அடையாளம் காணப்பட்டது (வேறு எந்த பதிவாளர்களும் சரிபார்க்கப்படவில்லை), மற்றும் அமேசான், கூகிள், வசாபி மற்றும் டிஜிட்டல் ஓஷன் சேவைகளில் துணை டொமைன்கள் உருவாக்கப்பட்டன.

வெரிசைன்-நிர்வகிக்கப்பட்ட ஜி.டி.எல்.டி களில் மட்டுமே விசாரணை நடத்தப்பட்டாலும், சிக்கல் இது வலையமைப்பின் ராட்சதர்களால் கணக்கில் எடுத்துக்கொள்ளப்படவில்லை மூன்று மாதங்களுக்குப் பிறகு, கடைசி நிமிடத்தில், அமேசான் மற்றும் வெரிசைனில் மட்டுமே சரி செய்யப்பட்டது, ஏனெனில் அவை குறிப்பாக சிக்கலை மிகவும் தீவிரமாக எடுத்துக் கொண்டன.

ஹாமில்டன் தனது அறிக்கையை தனிப்பட்டதாக வைத்திருந்தார் வெரிசைன் வரை, .com மற்றும் .net போன்ற முக்கிய உயர்மட்ட டொமைன் நீட்டிப்புகளுக்கான (ஜி.டி.எல்.டி) டொமைன் பதிவுகளை நிர்வகிக்கும் நிறுவனம் சிக்கலை சரிசெய்தது.

ஆராய்ச்சியாளர்கள் தங்கள் களங்களை சரிபார்க்க ஆன்லைன் சேவையையும் தொடங்கினர். ஏற்கனவே பதிவுசெய்யப்பட்ட களங்களின் சரிபார்ப்பு மற்றும் ஒத்த பெயர்களைக் கொண்ட TLS சான்றிதழ்கள் உள்ளிட்ட ஹோமோகுளிஃப்களுடன் சாத்தியமான மாற்று வழிகளைத் தேடுகிறது.

HTTPS சான்றிதழ்கள் குறித்து, சான்றிதழ் வெளிப்படைத்தன்மை பதிவுகள் மூலம், ஹோமோகுளிஃப்கள் கொண்ட 300 களங்கள் சரிபார்க்கப்பட்டன, அவற்றில் 15 சான்றிதழ்கள் உருவாக்கத்தில் பதிவு செய்யப்பட்டுள்ளன.

ரியல் குரோம் மற்றும் ஃபயர்பாக்ஸ் உலாவிகள் முகவரிப் பட்டியில் "xn--" முன்னொட்டுடன் ஒத்த களங்களைக் காட்டுகின்றன, இருப்பினும், இணைப்புகளை மாற்றாமல் களங்கள் காணப்படுகின்றன, அவை தீங்கிழைக்கும் வளங்களை அல்லது பக்கங்களில் இணைப்புகளை பக்கங்களில் செருக பயன்படுகிறது முறையான தளங்களிலிருந்து அவற்றைப் பதிவிறக்குவதற்கான சாக்குப்போக்கு.

எடுத்துக்காட்டாக, ஹோமோகுளிஃப்களுடன் அடையாளம் காணப்பட்ட களங்களில் ஒன்றில், jQuery நூலகத்தின் தீங்கிழைக்கும் பதிப்பின் பரவல் பதிவு செய்யப்பட்டது.

பரிசோதனையின் போது, ஆராய்ச்சியாளர்கள் 400 டாலர் செலவழித்து பின்வரும் களங்களை பதிவு செய்தனர் வெரிசைனுடன்:

  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • ɑmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • aticstatic.com
  • steɑmpowered.com
  • theɡguardian.com
  • theverɡe.com
  • washingtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • gooɡleapis.com
  • huffinɡtonpost.com
  • instaɡram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • roidndroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɩoogɩe.com

Si நீங்கள் அதைப் பற்றிய கூடுதல் விவரங்களை அறிய விரும்புகிறீர்கள் இந்த கண்டுபிடிப்பு பற்றி, நீங்கள் ஆலோசிக்கலாம் பின்வரும் இணைப்பு.


உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.