gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
IDN deixa de ser suportado pelo Mozilla
Contribuído por jmce em 17-02-05 14:27
do departamento dos-dømíñìòs
dns hybriz escreveu "Foi publicada uma advisory que expõe um novo tipo de ataques de phishing relacionado com o suporte para International Domain Name em quase todos os browsers baseados em gecko/khtml. Como se pode testar aqui, tanto um website normal como o seu certificado de SSL podem ser falsificados, o que demonstra quão sério este problema se pode tornar, pela ideia algo idiota e picuinhas de nacionalizar o DNS. Dos browsers 'livres', o FireFox e Mozilla são os únicos que permitem remediar a situação, consultando este link. "
Alguns dias depois, LostStar escreveu: "Segundo a betanews, o sistema IDN, que permite a internacionalização dos nomes de dominios, vai deixar se ser suportado pela Mozilla Foundation uma vez que a sua especificação permite a criação de esquemas de phishing. Será que esta notícia continua a ter o mesmo impacto depois de um dos principais browsers que o suportava ter deixado de o fazer? O Internet Explorer não suporta o IDN nativamente, mas através de um plugin e por tal não é directamente afectado pelo problema, mas uma vez que o problema é da especificação do IDN, qual será a real segurança de o usar? Já agora, alguém conhece algum site português que já tire partido do facto de poder ter nomes com acentos e cedilhas?"
[JMCE: Note-se que esta desactivação do suporte de IDN será provavelmente apenas temporária.]

Oferta de emprego: programador | Registo obrigatório do software utilizado?  >

 

gildot Login
Login:

Password:

Referências
  • publicada uma advisory
  • aqui
  • este link
  • betanews
  • esta notícia
  • será provavelmente apenas temporária
  • Mais acerca dns
  • Também por jmce
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    IDN == estupidez (Pontos:2, Interessante)
    por [Cliff] em 17-02-05 14:42 GMT (#1)
    (Utilizador Info) http://www.yimports.com/~cpinto
    o que será que ia na cabeça daquela gente quando pensou nisto? será o lobby dos teclados e das escolas de línguas a fazer pressão? ou será idiotice pura? não acredito que os engenheiros não tenham pensado nos extremos (um site da china ter o URL em chinês, algo que nem todos os chineses poderão perceber quanto mais o resto do mundo). quem diz china, diz índia, japão, whatever... que estupidez. btw, aguardo pacientemente que o UTF-32 suporte hieroglifos para nessa altura começar a registar domínios com bonecos.

    ---
    Este espaço pode ser seu...
    Re:IDN == estupidez (Pontos:2, Esclarecedor)
    por joaobranco em 17-02-05 15:04 GMT (#4)
    (Utilizador Info)
    Não concordo.

    Um site apenas para japoneses, que usam o teclado kanji, deverá poder ter um URL escrito em japonês. Acho esquisitissimo aqueles textos em romanji que aparecem em sites de japoneses para japoneses.

    Da mesma forma, um site com um URL em mandarim, embora provavelmente não possa ser lido por todos os chinêses provavelmente terá uma audiência potencial superior a um site que seja acessivel apenas da UE ou dos EUA...

    E qual é o problema dos domínios com bonecos? Eu até acharia piada ter um URL escrito em Fenwar ou Tengwar ;-)

    Agora a sério, a qustão da "vulnerabilidade" do IDN é simplesmente estarmos habituados a reconhecer apenas um conjunto limitado de caracteres como "legítimos". Se o uso de IDN fosse generalizado, a "falha de segurança" referida seria correctamente identificada como "falha de informação".

    A educação dos utilizadores (que pode ser facilitada, obviamente, por um interface adequado) é a única solução possível para este tipo de problema. Mas neste momento os utilizadores já aprenderam a procurar o "aloquete" (como diz a minha mulher, que é de trás-os-montes) para significar que a ligação é segura. Porque é que não aprenderão a reconhecer qualquer outro simbolo que lhes diga que o URL é apenas constituído por simbolos de um determinado alfabeto?

    Cumps, JB

    .. acusaram-O de pirataria, por ter duplicado uma cesta de pão e cinco peixes, e disseram: crucifiquem-No .. (Biblia do Século XXI)

    Re:IDN == estupidez (Pontos:1, Redundante)
    por [Cliff] em 17-02-05 15:10 GMT (#5)
    (Utilizador Info) http://www.yimports.com/~cpinto
    Pela mesma razão que os utilizadores não aprendem a não executar attachments no Outlook.

    ---
    Este espaço pode ser seu...
    Re:IDN == estupidez (Pontos:3, Informativo)
    por CrLf em 17-02-05 16:04 GMT (#8)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    URL != conteúdos. Uma coisa é ter páginas em qualquer língua e sistema de escrita, outra coisa são os URLs. Por um lado vão remover a universalidade dos URLs (e se eu quiser visitar a página de uma cidade russa, cujo URL está em cirílico? Eu poderia saber ler cirílico, mas isso não quer dizer que tenha um teclado com esses caracteres...), por outro vão criar inúmeras possibilidades de squatting e agora de phishing. E fora a confusão: O El Corte Inglés terá a sua página em "www.elcorteingles.pt" ou "www.elcorteinglés.pt"? Quantas pessoas sabem que o terceiro "e" tem acento? E eles, terão de registar ambos os URLs? Ou terão de registar todos os URLs com todas as combinações possíveis de caracteres acentuados para evitar esquemas e enganos? O método actual é simples, o IDN só introduz problemas para benefícios irrelevantes ou inexistentes.

    --
    Carlos Rodrigues
    Re:IDN == estupidez (Pontos:1)
    por joaobranco em 17-02-05 17:06 GMT (#10)
    (Utilizador Info)
    A isso eu respondo:

    Quem quiser usar URLs localizados, usa. Quem quiser suportar o minimo denominador comum em termos de URL (ASCII 7 bits) usa.

    Ninguém está a dizer que o uso de um URL com ASCII de 7 bits vai ser descontinuado. Provavelmente muitos sites continuarão a usar esses URLs.

    Agora, porque é que se usam URLs com nomes numa época em os motores de busca permitem facilmente evitar a memorização de URLs? Porque permite uma memorização mais fácil e um "branding" mais simplificado. Sim, é APENAS para um subconjunto dos sites. E sim, deve estar disponível, apesar disso.

    O El Corte Inglés, provavelmente, além desses ainda terá de registar / tentará registar outros domínios (e já hoje em dia usa outros domínios). O que não é problema nenhum, mesmo que a maior parte dos seus utilizadores usem o google para chegar lá, e não saibam, nem se preocupem, com o domínio/URL usado. Estamos a falar de um custo de fazer negócio quase completemente irrelevante para uma empresa de dimensão média. Para aquelas em que não é irrelevante, provavelmente é melhor manterem-se apenas em ASCII7 (mas essas provavelmente nem precisariam de um domínio próprio).

    Cumps, JB

    .. acusaram-O de pirataria, por ter duplicado uma cesta de pão e cinco peixes, e disseram: crucifiquem-No .. (Biblia do Século XXI)

    Re:IDN == estupidez (Pontos:1, Redundante)
    por [Cliff] em 17-02-05 17:57 GMT (#12)
    (Utilizador Info) http://www.yimports.com/~cpinto
    " mesmo que a maior parte dos seus utilizadores usem o google para chegar lá"
    lol de facto, vivemos mesmo numa outra realidade da informática:
    Neto: - "oh 'vó, procura o endereço correcto no google!"
    'Vó: - "www.gugel.pt"

    Talvez seja melhor saires um bocado do pedestal e ver que as coisas não são como nós pensamos que são.

    ---
    Este espaço pode ser seu...
    Re:IDN == estupidez (Pontos:0, Lança-chamas)
    por joaobranco em 17-02-05 19:48 GMT (#14)
    (Utilizador Info)
    Eu falei google, mas podia ter dito MSN search ou qualquer das outras toolbars ou motores de busca que estão nas "start pages" do browser.

    Hoje em dia é sabido que a maior parte das pessoas NÃO INTRODUZ URLS DIRECTAMENTE para a maior parte da navegação.


    Cumps, JB

    .. acusaram-O de pirataria, por ter duplicado uma cesta de pão e cinco peixes, e disseram: crucifiquem-No .. (Biblia do Século XXI)

    Re:IDN == estupidez (Pontos:2)
    por CrLf em 17-02-05 20:05 GMT (#15)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    Boa, como a maioria das pessoas normalmente não usa os URLs directamente, vamos então tornar mais difícil fazê-lo. Se tal é verdade, então ainda há menos razões para a existência de IDN. Mas atenção a todo este pessoal "web centric". Os URLs não são apenas usados na web. O que acontece com os endereços de email e todos as outras utilizações possíveis de nomes de domínio? Por razão nenhuma estão a abrir as portas a quantidades industriais de problemas, incompatibilidades e redução de acessibilidades.

    --
    Carlos Rodrigues
    Re:IDN == estupidez (Pontos:3, Esclarecedor)
    por CrLf em 17-02-05 20:07 GMT (#16)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    Boa, como a maioria das pessoas normalmente não usa os URLs directamente, vamos então tornar mais difícil fazê-lo.

    Se tal é verdade, então ainda há menos razões para a existência de IDN.

    Mas atenção a todo este pessoal "web centric". Os URLs não são apenas usados na web. O que acontece com os endereços de email e todos as outras utilizações possíveis de nomes de domínio?

    Por razão nenhuma estão a abrir as portas a quantidades industriais de problemas, incompatibilidades e redução de acessibilidades.

    PS: já era tempo de o Gildot conseguir transformar as quebras de linha em "line breaks" HTML. O hábito do "blogger", "phpBB" e afins está a criar o caos nos meus posts... :)

    --
    Carlos Rodrigues
    Re:IDN == estupidez (Pontos:1)
    por joaobranco em 17-02-05 21:36 GMT (#20)
    (Utilizador Info)
    Não vamos tornar mais dificil, vamos tornar mais fácil, porque mais próximo daquilo que é a escrita normal dessas pessoas.

    Quanto a utilizações como mail, etc. parece-me que basta a estes clientes suportarem as mesmas capacidades... O RFC actual do mail já é suposto suportar (pelo menos) 8 bit-addresses (não sei se suporta full-Unicode).

    O que estás a dizer é que vai ser preciso adaptar uma grande quantidade de software para suportar isto. Correcto. O que não significa que não seja desejável fazê-lo.


    Cumps, JB

    .. acusaram-O de pirataria, por ter duplicado uma cesta de pão e cinco peixes, e disseram: crucifiquem-No .. (Biblia do Século XXI)

    Re:IDN == estupidez (Pontos:4, Informativo)
    por CrLf em 17-02-05 21:52 GMT (#21)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    porque mais próximo daquilo que é a escrita normal dessas pessoas.

    Esta justificação não pega. Como tu bem dizes, a maioria das pessoas não escreve directamente URLs e as restantes não querem saber.

    Quanto a utilizações como mail, etc. parece-me que basta a estes clientes suportarem as mesmas capacidades... O RFC actual do mail já é suposto suportar (pelo menos) 8 bit-addresses (não sei se suporta full-Unicode).

    Mesmo que o mail suporte, explica-me como mando um email para a Rússia, ou para a China se o domínio tiver caracteres locais.

    Se me disseres que posso usar PUNYCODE, então estarás a dizer que não faz mal usar nomes de domínio incompreensíveis.

    O que estás a dizer é que vai ser preciso adaptar uma grande quantidade de software para suportar isto. Correcto. O que não significa que não seja desejável fazê-lo.

    Exacto, grande é ser simpático. E a questão é que não é desejável fazê-lo.

    Mais uma vez: os benefícios do IDN são irrelevantes especialmente face aos enormes problemas que causa. Tudo isto é tentar resolver um problema que não existe.

    --
    Carlos Rodrigues
    Re:IDN == estupidez (Pontos:3, Informativo)
    por CrLf em 17-02-05 16:04 GMT (#9)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    URL != conteúdos.

    Uma coisa é ter páginas em qualquer língua e sistema de escrita, outra coisa são os URLs.

    Por um lado vão remover a universalidade dos URLs (e se eu quiser visitar a página de uma cidade russa, cujo URL está em cirílico? Eu poderia saber ler cirílico, mas isso não quer dizer que tenha um teclado com esses caracteres...), por outro vão criar inúmeras possibilidades de squatting e agora de phishing.

    E fora a confusão: O El Corte Inglés terá a sua página em "www.elcorteingles.pt" ou "www.elcorteinglés.pt"? Quantas pessoas sabem que o terceiro "e" tem acento? E eles, terão de registar ambos os URLs? Ou terão de registar todos os URLs com todas as combinações possíveis de caracteres acentuados para evitar esquemas e enganos?

    O método actual é simples, o IDN só introduz problemas para benefícios irrelevantes ou inexistentes.

    --
    Carlos Rodrigues
    Re:IDN == estupidez (Pontos:2)
    por TarHai em 17-02-05 17:42 GMT (#11)
    (Utilizador Info) http://www.dilbert.com
    A ideia e boa. O DNS é para ser lido por humanos e nem todos os humanos sabem, ou querem saber, inglês.

    Se a maneira como se faz é a mais acertada, isso é outra questão.
    ## I should be working...
    Re:IDN == estupidez (Pontos:1)
    por cb em 17-02-05 20:34 GMT (#18)
    (Utilizador Info) http://www.cb.dhs.org
    Claro que nao. Mas repara que este texto nao tem cacarteres acentuados e que qualquer miudo do 1º ciclo que nao saiba ingles deve de conseguir ler. O mesmo se aplica ao DNS.
    Re:IDN == estupidez (Pontos:1)
    por joaobranco em 17-02-05 21:32 GMT (#19)
    (Utilizador Info)
    E se o miudo do 1º ciclo for Marroquino? Grego? Israelita? Coreano? Continua com a responsabilidade de conseguir ler algo que não suporta nenhum dos simbolos do seu alfabeto?

    A Internet é internacional, e não é "coutada" de quem usa alfabeto latino.


    Cumps, JB

    .. acusaram-O de pirataria, por ter duplicado uma cesta de pão e cinco peixes, e disseram: crucifiquem-No .. (Biblia do Século XXI)

    Re:IDN == estupidez (Pontos:2)
    por CrLf em 17-02-05 21:54 GMT (#22)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    Então vai ver que tipo de teclados eles estão a usar nesses países.

    --
    Carlos Rodrigues
    Re:IDN == estupidez (Pontos:2)
    por McB em 26-02-05 13:47 GMT (#24)
    (Utilizador Info)
    Já vi teclados gregos e israelitas, e curiosamente, a implementação primária é.... INGLESA!

    Os caracteres nativos são mapeados em simultâneo com teclas inglesas!
    Poderias apontar razões de índole cultural..mas a que usaste não pega, definitivamente!

    Yours,
    McB!
    They told me it need Windows 95 or better, so I chose Linux
    Re:IDN == estupidez (Pontos:3, Interessante)
    por Ancestor em 17-02-05 20:25 GMT (#17)
    (Utilizador Info) http://www.norteglobal.com
    Eu não consigo pensar em IDN sem me ocorrer a expressão "imbecilidade". Nada te impede de registares domains que impeçam o correcto IDN de um pais qualquer. Se a maioria das pessoas tem dificuldade em perceber que os endereços de email, por exemplo, não levam acentos nem cedilhas (muito menos espaços), a esmagadora maioria dos utilizadores que não sabe as regras (certas até há pouco tempo) confundirá os urls típicos dos ataques de phishing e dns poisoning.
    Re:IDN == estupidez (Pontos:2)
    por Dehumanizer em 18-02-05 9:02 GMT (#23)
    (Utilizador Info) http://www.dehumanizer.com/
    Concordo plenamente. Caracteres acentuados em URLs é das ideias mais estúpidas de sempre - só pode ter vindo de algum engravatado que não percebe nada de tecnologia, que achou que "it would sell", e que ignorou os técnicos que lhe disseram que era uma má ideia.


    "It is every citizen's final duty to go into the tanks and become one with all the people."
    - Chairman Sheng-ji Yang, "Ethics for Tomorrow"
    IDN 'spoofing', uma solução construtiva (Pontos:3, Interessante)
    por Specimen em 17-02-05 14:56 GMT (#2)
    (Utilizador Info)
    Achei mto interessante este artigo que propõe uma solução, quase um ovo de colombo, daquelas com o potencial de deixar toda a gente satisfeita.

    Eu próprio como uso a fonte Bitstream Vera Sans para o UI notei logo no FireFox q o 'a' no paypal era diferente, porque a fonte aparentemente não suporta unicode.

    .pt com acentos, cedilhas.... (Pontos:1)
    por bilu em 17-02-05 14:57 GMT (#3)
    (Utilizador Info)
    Hmmm.... este artigo é de 6 de Janeiro:

    http://www.gildot.org/articles/05/01/06/102212.shtml

    Comentários?


    Não Suportado não é o mais correcto.... (Pontos:1)
    por nifan em 17-02-05 15:25 GMT (#6)
    (Utilizador Info)
    na verdade vai deixar é de ser activado "out the box"...

    "Microsoft gives you Windows, Linux gives you the whole house"
    Re:Não Suportado não é o mais correcto.... (Pontos:1)
    por nifan em 17-02-05 15:28 GMT (#7)
    (Utilizador Info)
    mais informações aqui.

    "Microsoft gives you Windows, Linux gives you the whole house"
    Eu avisei! (Pontos:2, Esclarecedor)
    por mlopes em 17-02-05 18:01 GMT (#13)
    (Utilizador Info) http://seixopaulo.blogspot.com/

    there are now many ways to display any domain name on a browser, as there are a huge number of codepages/scripts which look very similar to latin charsets.

    Eu avisei!

    "The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
    Daniel J. Boorstin

     

     

    [ Topo | FAQ | Editores | Contacto ]