советы от Майкрософта

[avva]

"Не осуществляйте переходы по гиперссылкам, которым вы не доверяете. Вместо этого вручную введите нужный адрес в поле адреса."

Ещё одна технология будущего от фирмы Майкрософт!

Comments

[avva.livejournal.com]

Извини, но твой ответ относится к классу "в огороде бузина, а в Киеве дядька". Если ты пойдёшь по ссылке и прочитаешь сам документ Майкрософта, то увидишь, что там ясно написано, что речь идёт об известной недавней дырке, позволяющей составить ссылку так, что IE показывает один сайт, а идёт совершенно на другой, причём никакого отношения к интернационализации или не-латинским алфавитам это не имеет. Т.к. Майкрософт не может или не хочет починить этот баг, компания советует пользователям воспользоваться такой переводой технологией, как перенабивание адреса вручную.

Что же касается интернациональных URLов, то использование их для подделки веб-сайтов упирается в вопрос интернационализации DNS, который, насколько мне известно, так до сих пор и не решён удовлетворительно. Мне неизвестно ни о каких широкомасштабных попытках обмануть пользователей, перенаправляя их на адреса типа указанного тобой (в то время как описанный мной выше баг как раз использовался и используется для таких атак). Когда опасность таких атак станет реальной, конечно же, можно будет найти другое, нормальное решение проблемы похожих символов в разных алфавитах (например, визуально отмечая в браузере URLы, использующие не-латинские символы, или символы из разных алфавитов; а также включая возможность запретить такие URLы в опциях секьюрити браузера). Уверен, что в ту пору чудесную даже Майкрософт попробует воплотить такие технические решения, вместо того, чтобы просить юзеров перенабирать руками любой URL, в котором они не уверены.

[dimrub.livejournal.com]

Ты пишешь: Извини, но твой ответ относится к классу "в огороде бузина, а в Киеве дядька". Если ты пойдёшь по ссылке и прочитаешь сам документ Майкрософта, то увидишь, что там ясно написано, что речь идёт об известной недавней дырке, позволяющей составить ссылку так, что IE показывает один сайт, а идёт совершенно на другой, причём никакого отношения к интернационализации или не-латинским алфавитам это не имеет.

Microsoft пишет: Caution The following information provides general guidelines based on well-known attacks. Because attacks change constantly, malicious users could create spoofed Web sites by using means other than those that are described here.

Продолжать? Продолжаем. Ты имеешь в виду, видимо, вот эту дырку:

For example, a URL of the following form will open http://example.com, but the URL in the Address bar or the Status bar in Internet Explorer may appear as http://www.wingtiptoys.com:
http://www.wingtiptoys.com%01@example.com

Да, это баг. Да, он наверняка будет скоро починен. Но:

1. Останется множество юзеров с по разным причинам непочиненым браузером, и их надо бы предупредить.
2. Допустим, во всех остальных браузерах такого бага нет. Все равно 99.999% пользователей купятся на URL такого вида. Ты не согласен? Этих пользователей не надо предупредить? Заметь, что помимо ручного ввода адреса (который приведен ближе к концу статьи) там приведено еще несколько способов проверки того, что пользователь пришел на правильный сайт.

Ох...

[dimrub.livejournal.com]

Добавлю только, что в моей версии IE этот линк отображается правильно. Так что утверждение о "не хочет либо не может починить" лично я подвергаю сомнению.

Re:

[rydel23.livejournal.com]

http://www.livejournal.com/users/rydel23/227961.html - you claim you see the correct URL?

Re:

[dimrub.livejournal.com]

I don't - from the work computer. I'll recheck it when back home.

Re:

[dimrub.livejournal.com]

This problem has been solved in the new patch. Now this syntax is no longer considered valid.

[avva.livejournal.com]

Microsoft пишет: Caution The following information provides general guidelines based on well-known attacks. Because attacks change constantly, malicious users could create spoofed Web sites by using means other than those that are described here.

Ага. Но ни слова об интернациональных URLах здесь нет. Вообще никаких широкомасштабных атак с их использованием не было. И не предвидится в ближайшем будущем. Наконец, они менее опасны, чем баги с неправильным отоборажением URLов в поле адреса, т.к. поддельные, похожие на "Microsoft" имена Майкрософт может оспаривать и отбирать через систему арбитрации доменов (и регулярно этим занимается), а в случае бага настоящая страница находится на сайте, который по написанию на "microsoft.com" совершенно не похож.

Короче говоря, твоё упоминание вопроса интернационализации никакого отношения к данной статье Майкрософт и к обсуждаемой проблеме не имеет.

1. Останется множество юзеров с по разным причинам непочиненым браузером, и их надо бы предупредить.

А кто сказал, что не нужно предупреждать? Я высмеиваю советы набирать руками любой URL, в котором юзер не уверен, а не саму идею предупреждения о проблемах такого рода.

2. Допустим, во всех остальных браузерах такого бага нет. Все равно 99.999% пользователей купятся на URL такого вида. Ты не согласен? Этих пользователей не надо предупредить? Заметь, что помимо ручного ввода адреса (который приведен ближе к концу статьи)

Ручной ввод адреса приведен в самом начале статьи и является первым советом пользователям большинства веб-сайтов (перед ним ещё есть совет проверять замочек, но ясно, что количество сайтов, бегущих на SSL, и их посетителей, ничтожно по сравнению с сайтами/посетителями всего веба).

[dimrub.livejournal.com]

Ага. Но ни слова об интернациональных URLах здесь нет.

Справедливо. Я привел их в качестве примера атаки, которой будут подвержены все браузеры. В статье же описываются все атаки подобного рода (соответственно, советы, перечисленные в статье, касаются и этой атаки).

Вообще никаких широкомасштабных атак с их использованием не было. И не предвидится в ближайшем будущем.

Мне кажется, что как только будет технологическая база (т.е. поддержка DNS), такие атаки не замедлят появиться. Мог ли ты предположить 4 дня назад, чем будешь заниматься в течении последующих 2-х дней? :)

т.к. поддельные, похожие на "Microsoft" имена Майкрософт может оспаривать и отбирать через систему арбитрации доменов

Разумеется. Проблема в том, что пока домейн отберут, на него миллионы пользователей купятся.

а в случае бага настоящая страница находится на сайте, который по написанию на "microsoft.com" совершенно не похож

Как я уже писал, 99.999% пользователей купятся на подобный адрес и без бага. Пользователь не является парсером адресов.

А кто сказал, что не нужно предупреждать? Я высмеиваю советы набирать руками любой URL, в котором юзер не уверен, а не саму идею предупреждения о проблемах такого рода.

В статье дается _несколько_ советов, далее пользователь может выбрать тот способ, который ему больше подходит. Кстати, ты бы пошел по линку на сайт своего банка? Я - нет. Набрал бы ручками.

Ручной ввод адреса приведен в самом начале статьи

Ты путаешь саму статью и Summary.

Re:

[tejblum.livejournal.com]

Мне кажется, что как только будет технологическая база (т.е. поддержка DNS),

Я, откровенно говоря, не очень в курсе, но насколько я знаю, никакой специальной поддержки в DNS не нужно. Есть punycode (http://www.rfc-editor.org/rfc/rfc3490.txt), правила по которым интернационализированное имя преобразовывается в ASCII с префиксом xn--, и всё.

Проблема в том, что пока домейн отберут, на него миллионы пользователей купятся.

Ну, если говорить о сертификатах, то в них самое важное не домен, а организация, которой он выдан. Ни один сертификатор, находясь в здравом уме, не выдаст сертификат корпорации Microsoft с киррилическим "о" в названии; кроме того ни в одной стране такая корпорации не будет зарегистрирована.

Re:

[dimrub.livejournal.com]

Ну, если говорить о сертификатах, то в них самое важное не домен, а организация, которой он выдан. Ни один сертификатор, находясь в здравом уме, не выдаст сертификат корпорации Microsoft с киррилическим "о" в названии; кроме того ни в одной стране такая корпорации не будет зарегистрирована.

Вы, безусловно, правы. Проблема, однако, в том, что:

1. Большая часть пользователей ВООБЩЕ не знает, что такое SSL.
2. Те из них, кто знают - как правило не знают, как он работает. Так что если им браузер выдаст окошко с надписью "This certificate was signed by an unknown CA. Do you wish to install a new root CA certificate?" он ничтоже сумняшеся нажмет на "Yes". Аналогично с сообщением "The name in the certificate does not match the domain name". Он просто не будет знать, что делать, и скорее всего согласится. А тогда весь смысл сертификатов теряется. Я Вам больше скажу. Есть множество солидных фирм (в том числе одна из крупнейших брокерских фирм), у которых имя в сертификате не соответствует имени их домейна. Они даже не поняли что я от них хочу, когда я им об этом сообщил.

А по поводу регистрации сертификата - на Майкрософт, наверное, не выдадут. А на какую-нибудь менее известную фирму может и выдадут.

Что же касается DNS, насколько я знаю, стандарта (даже де-факто) еще нет, есть только разные feasibility tests.

Приятно было в этой дискуссии наконец-то поговорить о деле.

Re:

[avva.livejournal.com]

В статье дается _несколько_ советов, далее пользователь может выбрать тот способ, который ему больше подходит. Кстати, ты бы пошел по линку на сайт своего банка? Я - нет. Набрал бы ручками.

Но в статье же не говорится, скажем, "обращайте особое внимание на URLы, ведущие на сервисы, содержащие Вашу конфиденциальную информацию, в том числе финансовую. Заслуживают подозрения ссылки на такие ресурсы, содержащиеся в пришедшим к Вам по почте письмам, или на веб-сайтах, никакого отношения к данным сервисам не имеющих" итп. Такие советы могли бы быть полезными, действительно.

Совет набирать руками все ссылки, к которым у пользователя нет доверия, совершеннп абсурден и лишён всякого смысла (и пользы). Единственный реальный от него результат - то, что энное количество глупых юзеров начнут вообще все ссылки вбивать от руки, вместо того, чтобы нажимать на них.

О том, что лучше вместо такого совета было бы патч привести, уже писали.

Ты путаешь саму статью и Summary.

Какая разница? Так или иначе, это то, что читатель данного документа прочтёт в самом начале.