dil: (Default)
dil ([personal profile] dil) wrote2017-04-25 08:13 pm
  • Add Memory
  • Share This Entry
Entry tags:

Доигрались с интернационализированными доменами..

Теперь можно зарегистрировать домен, выглядящий точно так же, как чужой, только с буковками из другого алфавита. И даже приделать к нему честно подписанный SSLный сертификат: https://www.аррӏе.com/
Выглядит почти как настоящий, но на самом деле это xn--80ak6aa92e.com, с буквами из кириллицы: “а”, “р”, “е”, и “ӏ” (так называемая, “палочка” , которая используется в некоторых кавказских языках).

Подробности тут.

Как обычно, про эту дырку в безопасности сообщил Брюс Шнайер.

Оригинал этой записи в личном блоге.

Flat | Top-Level Comments Only
dmarck: (Default)

[personal profile] dmarck 2017-04-25 07:15 pm (UTC)(link)
собственно, в частности, поэтому в домене .рф запрещены не-кириллические буквы. в GTLD всё сложнее, конешно.
an54444: Железный Порт, море (Default)

[personal profile] an54444 2017-04-25 07:15 pm (UTC)(link)
охренеть.
leo_sosnine: (Default)

[personal profile] leo_sosnine 2017-04-25 08:13 pm (UTC)(link)
Шнайер ещё и тормоз, плюс ко всему.
leo_sosnine: (Default)

[personal profile] leo_sosnine 2017-04-25 08:14 pm (UTC)(link)
файрфокс я себе исправил и даже начал подготовку к изменению этого всем, у кого он стоит

фан факт в том, что ИЕ таким макаром не проведёшь, хехе

для хрома как раз сёдни должны были заплатку зарелизить
dil: (Default)

[personal profile] dil 2017-04-25 08:32 pm (UTC)(link)
Попробовал в хроме (он у меня свежий, 58.0.3029.81) оно превратилось в www.xn--80ak6aa92e.com

IE у меня под рукой нету, завтра на работе попробую. Но вот показывают, что оно таки там вполне работает: https://www.xudongz.com/cache/95b7f81c1b156f99c3ba37d0e8f875ef358bfa9856c99abf7ce72455eabd442b.png
pan_2: (Default)

[personal profile] pan_2 2017-04-25 11:16 pm (UTC)(link)
IE9 не понимает ссылку вообще (что странно, пуни он умеет)
IE10+ показывают знак мультилокального адреса в адресбаре (иероглиф+а), при нажатии всё рассказывает.
dil: (Default)

[personal profile] dil 2017-04-26 08:08 am (UTC)(link)
IE8 (в седьмой винде) тоже не понимает, просит ввести правильный адрес..
А в 10 винде IE его открыл, поменяв на www.xn--80ak6aa92e.com, как в свежем хроме.
Edited 2017-04-26 08:30 (UTC)
leo_sosnine: (Default)

[personal profile] leo_sosnine 2017-04-28 02:36 pm (UTC)(link)
не знаю в чём дело, на работе в нашем ИЕ это не работает
dil: (Default)

[personal profile] dil 2017-04-28 05:19 pm (UTC)(link)
А что говорит?
leo_sosnine: (Default)

[personal profile] leo_sosnine 2017-04-28 06:22 pm (UTC)(link)
Просто не считает её ссылкой. Если кликать ничего не происходит. В статус баре она не отображается при ховере. Если её вставлять прямо в адрес бар то он выдаёт диалог бокс что он не смог пройти по ссылке. Версия 11.0.9600.18617, апдейт 11.0.40.

Такие ссылки может отключены где-то в конфиге, только где.
dil: (Default)

[personal profile] dil 2017-04-29 08:56 am (UTC)(link)
"Такие ссылки" - это какие? Вот асса.com - реальный домен из таких же русских букв, не подделка. Должен работать.
dil: (Default)

[personal profile] dil 2017-04-26 01:14 am (UTC)(link)
P.S. А вот хром в андроидном смартфоне прошёл по ссылке, ничего не поменяв. 57.0.2987.132
dil: (Default)

[personal profile] dil 2017-04-25 08:32 pm (UTC)(link)
Чего вдруг тормоз?
beldmit: (Манул)

[personal profile] beldmit 2017-04-26 07:58 am (UTC)(link)
Не, ну проблему омографов ASCII vs non-ASCII они так решат. А вот если два nonASCII будут, то отличать придётся xn--foo от xn--bar, что добавит веселья.
Flat | Top-Level Comments Only