りんご大好き

りんご大好きです♪  Macintosh が大好きなのですが、何故か Mozilla の Firefox や Thunderbird を愛用しています(^^ゞ。


MacBook Pro(Mid2007) の購入が切っ掛けで、AppleのiWebを使用し『りんご大好き』と云うBlogを 2007年に立上げましたが、2012年6月のAppleのMobileMe (iWeb)サービス終了と供に御無沙汰していました^_^;


2013年から復活しましたので、また宜しくお願い致しますね。

2017年07月 ≪  12345678910111213141516171819202122232425262728293031 ≫ 2017年09月
TOPFirefox ≫ 目視判断不可なURL偽装に対してのFirefoxでの対策

目視判断不可なURL偽装に対してのFirefoxでの対策

どーも、Ryo(@macmacintosh)です♪

情報元はGigagineです。
通常、URLが意図通りの正しいサイトか否かはWebブラウザのURLの表示を見て判断している筈ですが、URLの表示で Unicode で書かれた文字列をDNS内の制限された文字コード空間でも使えるようにする為の方式「Punycode(ピュニコード)」を悪用し「homograph attack(ホモグラフ攻撃)」を進化させた手法がフィッシング詐欺の手法として Mohit Kumar氏が指摘との事。

This Phishing Attack is Almost Impossible to Detect On Chrome, Firefox and Opera

Punycode とは、 英数字とハイフン 以外の文字で記載されたURLを 英数字とハイフンの組み合わせのみで表現できるように変換する技術の事。

2017年1月20日にChromeとFirefoxに報告済みで、Google Chrome 58 で修正される予定、との事。
Firefox に於いては、Punycodeの自動変換 OFF への設定変更でユーザー側で対応可との事。


フムフム…(*゚ー゚)(*。_。)ナルホド…。
試してみます^_^;。

以下は Mohit Kumar氏作成のデモページです。
実際のURL : https://www.xn--80ak6aa92e.com

Firefox 52.0.2 ; 現状(対応前)

Webブラウザ上のURL : https://www.apple.com/  に Σ(`□´ ;)ゲッ!!
これは、ヤバい!!
ただ、URLバーをマウスオーバーすると、表記が一時的に本来の https://www.xn--80ak6aa92e.com に変わります。
20170419-1.png

20170419-Firefox_before1.png
20170419-Firefox_before2.png

Firefox 52.0.2 ; 対応後

about:config にて設定変更。
network.IDN_show_punycode true に変更(ダブルクリックで可)。
20170419-4.png

URLバーの表記が本来のモノになりました。 .:゚+☆⌒(*^ー゚)b グッ!!
20170419-3.png

20170419-Firefox_after1.png
20170419-Firefox_after2.png


Safari 10.1 では?

macOS Sierra 10.12.4 での最新バージョンである Safari 10.1 (12603.1.30.0.34) での結果は以下の通り。

現状で本来のURLが表示され、この件に関しての対応は不要の模様。
20170419-safari-1.png

お決まりですが、本エントリーの内容については、自己責任の元 お試し下さいね^_^;。

では(^-^)/~


追記 : 平成29年4月20日(木)午前2時5分
Frefox 53.0 が正式リリースされましたが、本件については未対応の模様。
引き継ぎ、ユーザーサイドでの対応が必須のようです (´・ω・`)=з

関連記事
スポンサーサイト



Comment













非公開コメントにする

Trackback

Trackback URL