image

Kritiek op Mozilla wegens oplossing IDN spoofing lek

zaterdag 26 februari 2005, 09:39 door Redactie, 11 reacties

De Mozilla Foundation is onder vuur komen te liggen wegens het uitbrengen van een patch voor het kritieke spoofing lek dat door de implementatie van de International Domain Name (IDN) standaard ontstaan was. Via het lek kan een aanvaller, door gebruik te maken van karakters uit andere talen, domeinnamen op een eenvoudige manier vervalsen. Europese en Aziatische domain registrars en ICANN (Internet Corporation of Assigned Names and Numbers) zijn echter niet zo blij met de oplossing van Mozilla om ondersteuning van IDN tijdelijk uit te schakelen. Op deze manier zou voorkomen worden dat ook andere talen dan alleen het Engels een kans op het internet krijgen. Een mogelijke oplossing voor het beschermen van gebruikers zou het gebruik van een icoon zijn, dat getoond wordt als men een IDN bezoekt. (The Register)

Reacties (11)
26-02-2005, 10:15 door raboof
Wat een typisch TheRegister-artikel zeg, het wordt
ontzettend opgeblazen.

Firefox 1.0.1 laat IDN's, als ik
http://www.mozilla.org/products/firefox/releases/ mag
geloven, zien in `PUNYCODE', en vraagt de registrars beter
op te letten welke domeinen ze toekennen. Ik heb het niet
precies uitgeplozen, maar dat lijkt me precies wat de door
TheRegister aangedragen `oplossing' in RFC3743 voorstelt.

Daarnaast vind ik het
`ja-maar-in-gewone-URLs-lijken-I-en-l-ook veel op elkaar in
sommige lettertypes' niet redelijk - van de `I' kun je het
nog een beetje verwachten, van de `p' zou je op het eerste
gezicht niet denken dat er een tweede karakter voor is dat
er zowat hetzelfde uit ziet.

Het bericht van ICANN, door TheRegister samengevat als: `ICANN says idiots', lijkt me helemaal niet direct negatief. Ze zeggen alleen dat het probleem, hoewel het al bestond, inderdaad groter wordt door IDN's, en dat er een lange-termijn oplossing voor moet komen waardoor ze wel gebruikt kunnen (en gaan) worden, maar niet misbruikt.

Het bericht van APTLD lijkt het juist zelfs eens te zijn met het statement van Mozilla, maar wordt door TheRegister ook samengevat als `APTLD says idiots'.

Ik weet niet of dit nu de best denkbare oplossing is, maar
ik vind het een redelijke oplossing. Een perfecte oplossing
kan altijd later nog.

Overigens: hoe lost Internet Explorer dit eigenlijk op?
26-02-2005, 10:48 door Anoniem
Ik snap de ophef niet zo, ik heb nogmaals de spoofing test
gedaan en het probleem is wel dergelijk degelijk opgelost.
Url namen kunnen niet meer vervalst worden weergegeven en
daar ging het om.
26-02-2005, 10:49 door Anoniem
Door raboof
Overigens: hoe lost Internet Explorer dit eigenlijk op?

Waarom wil je dat weten? Gebruik je het dan?
26-02-2005, 11:06 door raboof
Door (hris
Ik snap de ophef niet zo, ik heb nogmaals de spoofing test
gedaan en het probleem is wel dergelijk degelijk opgelost.
Url namen kunnen niet meer vervalst worden weergegeven en
daar ging het om.

De ophef gaat erom dat IDN in principe zinvol is, en dat
Mozilla door het helemaal uit te schakelen de adoptie van
IDN vertraagt. Bovendien heeft Mozilla iets geschreven in de
trant van `Dit is eigenlijk niet ons probleem, maar het
probleem van de registrars. Omdat die hun werk niet doen en
wij toch onze gebruikers willen beschermen zetten we het
voorlopig uit'.

TheRegister doet het echter inderdaad lijken alsof er veel
meer ophef is dan er in werkelijkheid bestaat, zie mijn post
hierboven :). Ik snap trouwens niet helemaal waarom ze het
nodig vinden Mozilla zo af te zeiken. Maar afzeiken is een
beetje het handelsmerk van TheRegister.
26-02-2005, 11:12 door Anoniem
thnx voor de extra uitleg :) ik begrijp het nu beter en ben
nog steeds blij met de oplossing zoals mozilla die nu heeft
uitgebracht ;)
26-02-2005, 11:18 door spatieman
internet explorer maakt GEEN gebruik van IDN..
voor wat ik op mozz heb gelezen..
26-02-2005, 12:12 door Anoniem
Internet Explorer maakt GEEN gebruik van IDN..
voor wat ik op mozz heb gelezen..

heeft The Registrar daar niets over te zeiken dan.
Een gedeeltelijke implementatie (in FF) is toch altijd nog
beter dan helemaal geen implementatie (in IE)?
26-02-2005, 12:32 door Anoniem

Overigens: hoe lost Internet Explorer dit eigenlijk op?

IE heeft standaard geen support voor IDN. Alleen met een plugin kan er
gebruik van gemaakt worden. Hoe het met deze plugin is afgelopen, weet
ik ook niet.

Iemand zin om dit na te pluizen?
26-02-2005, 15:18 door Anoniem
Een terugkerend thema in thrillers is dat een pand zodanig
wordt verbouwd dat nietsvermoedende bezoekers (bijv. de
hoofdrolspeler) handelingen verrichten waar ze spijt van
krijgen (als ze het overleven).

In tegenstelling tot een pand is een website zo gekopieerd,
en is het de vraag of enkele afwijkingen in details door
nietsvermoedende bezoekers worden opgemerkt, temeer die
details bij herhaling gespoofed blijken te kunnen worden
(denk bijv. aan "url's" in de statusbalk). Dit wordt
versterkt door het feit dat op legitieme websites
voortdurend vanalles verandert, d.w.z. de layout tussen
sessies, maar denk ook aan afleidende dynamische content
tijdens de sessie. Ik vermoed dat met enige social
engineering ("sorry, maar t.g.v. een technisch probleem
hebben we tijdelijk een andere hostname") de meeste mensen
ook onbekende URL's zullen accepteren.

Wat vaak vergeten wordt is dat we uiteindelijk naar ongeveer
een miljoen pixels zitten te kijken die elk door complexe
software worden aangestuurd (denk aan alle lagen,
waaronder DNS). De vraag is hoe we, en met welke
betrouwbaarheid, een gebruiker ervan kunnen overtuigen dat
de pixelcombinaties voor z'n neus door de bedoelde website
worden aangestuurd.

Security die-hards zullen onmiddellijk "certificaten" roepen
maar vooral met de implementatie van de bijbehorende
technologie bleek bij herhaling vanalles mis te gaan. Daar
komt bij dat de meeste mensen er geen flauw benul van hebben
hoe certificaten precies werken (complexiteit en
desinteresse) en ze (aangeleerd) tevreden zijn met het zien
van een slotje, als het ze al opvalt dat dit een keer
niet verschijnt.

Het feit dat je op bijv. http://www.paypal.com/
(en, for that matter, security.nl) een wachtwoord kunt
intypen (dus een site waarvan de identiteit nog niet d.m.v.
een certificaat enigszins is aangetoond) is opvoedkundig
gezien bizar. Ten slotte is m.i. de aanpak van certificaten
in browsers te "binair": een certificaat wordt geaccepteerd
of niet (zo niet dan verschijnen er vreselijk enge
popups). Certificaat aanhangers raad ik aan
http://www.schneier.com/paper-pki.html nog eens
na te lezen.

Kortom, het hele gedoe over IDN's is overdreven. Er bestaat
gewoon niet zoiets als secure browsen; het is insecure of
iets minder insecure.

Erik van Straten
26-02-2005, 17:28 door Anoniem
Om een lang verhaal kort te maken: was het niet een fout in
het IDN protocol?
In IE was IDN nog niet geïmplementeerd (hoewel deze
gebruikers met de IDN-plugin óók ontvankelijk zijn
voor deze bug.)
Het is terecht dat Mozilla IDN ondersteuning zolang
standaard op uit zet.
01-03-2005, 13:07 door Anoniem
Nee het is geen fout in IDN. De standaard houdt er rekening
mee en geeft adviezen om het te voorkomen (als het al een
'fout' is is het de fout dat verschillende dingen zo op
elkaar lijken in het gewone schrift). Ik vind het jammer dat
het uit wordt gezet, beetje een Microsoft achtige oplossing
(zie de ftp security hole destijds, wat wel een echte fout
was). Ik heb er wel weer vertrouwen in dat het gewoon weer
aangaat zodra ze een goede oplossing hebben bedacht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.