Firefox 用户看过来!弱化 EV 证书后,出现的魔幻案例

2019-11-27 20:29:49 +08:00
 dallaslu
李逵: https://paypal.com/
李鬼: https://раураӏ.com/
3986 次点击
所在节点    分享发现
22 条回复
codehz
2019-11-27 20:40:40 +08:00
jadec0der
2019-11-27 20:40:57 +08:00
cool
ershiwo
2019-11-27 20:42:51 +08:00
network.IDN_show_punycode 设置为 true。
eason1874
2019-11-27 20:44:14 +08:00
之前不是有人注册了一个看起来跟苹果网站一样的域名来说明这个问题了么,后来 Chrome 域名显示就改成 punycode 了,Firefox 居然没改。
jadec0der
2019-11-27 20:45:54 +08:00
@eason1874 都改成 punycode 的话 .中国 这种域名就更卖不出去了——虽然本来就没人用
MicrosoftAccount
2019-11-27 20:51:08 +08:00
手机上看着还是有区别
i.imgur.com/KkBW8BO.jpg
xiri
2019-11-27 20:55:55 +08:00
chrome 一眼就看出区别了啊
eason1874
2019-11-27 20:57:59 +08:00
@jadec0der #5 这种跟英文字母明显不一样的 Chrome 倒是没有转换。感觉让客户端解决这个问题,不如注册局直接禁止这种字符的使用。
lhx2008
2019-11-27 21:01:59 +08:00
这个时候就亮出了我的装 B 域名
http://ડ.com/
d5
2019-11-27 22:05:53 +08:00
🎮binance 李鬼就是这么骗到不少人的
sobigfish
2019-11-27 22:34:53 +08:00
@lhx2008 原来注册几个都没续费, 留着吧, 可能以后都不能新注册这种了
Osk
2019-11-27 23:07:22 +08:00
恕我直言,弱化 ev 证书真的是智障设计,ev 证书显示个绿锁要命吗?
flyhaozi
2019-11-27 23:23:19 +08:00
被 ESET 拦截了,不装安全软件可能真的注意不到😂
SharkIng
2019-11-28 04:38:30 +08:00
Paypal 会有地域的跳转,而且看小锁颜色也不一样不知道有什么区别
phy25
2019-11-28 09:31:23 +08:00
比较好的做法是一旦识别到这种带可疑字符格式的域名就自动打回原型。好像是其他浏览器在做的。

取消 EV 高亮的显示似乎是因为研究发现普通用户根本不看(虽然高级用户会看): https://chromium.googlesource.com/chromium/src/+/HEAD/docs/security/ev-to-page-info.md#Further-Reading
nnnToTnnn
2019-11-28 09:38:22 +08:00
有趣,两个 URL 地址不一样

一个是 https://paypal.com/
另外一个是 https://раураӏ.com/

由于字体的原因导致看起来类似,但是其实 pal 的 l 是不一样的,利用特殊字符导致字体比较类似,似乎又提供了一种 https 的攻击思路。


https://dev.to/logan/homographs-attack--5a1p 介绍的攻击原理
dallaslu
2019-11-28 10:55:00 +08:00
@nnnToTnnn
@codehz
@eason1874
@xiri

所以说,Firefox 蠢得要死,跟 Chrome 的风一起杠 EV。人家是要干赛门铁克,灭掉 EV,但是做得比 Safari 过分( Safari 不显示公司信息但是有绿 bar ),怕面上不太好看,于是拉拢 Firefox,结果他们忘记自己家的 IDN 默认显示方式了,也跟着不显示绿锁……
dallaslu
2019-11-28 10:56:25 +08:00
@SharkIng 这里的李鬼只是一个实验网站,如果要是钓鱼站,做成一模一样也不是难事
dallaslu
2019-11-28 10:58:58 +08:00
@lhx2008
@nnnToTnnn

这类相似字符有非常之多,详细可看这里: http://www.unicode.org/Public/security/latest/confusables.txt
codehz
2019-11-28 11:05:38 +08:00
@dallaslu #17 其实 chrome 之前也有这个问题。。。后面针对相似字符处理了,但是 ff 没处理,就这么简单。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/623737

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX