Korrektur: Meldung zur IDN-Sicherheitslücke

Vor genau einer Woche berichteten wir über eine Sicherheitslücke in allen Browsern außer dem Internet Explorer in Zusammenhang mit internationalen Domain-Namen. Dabei war die Beschreibung der Ursache des Problems falsch, was wir hiermit richtig stellen möchten.

Gernot Katzer hat uns darauf aufmerksam gemacht, dass entgegen dem Wortlaut der ursprünglichen News in dem gefälschten Paypal-Domainnamen Zeichen mit Punycode kodiert wurden, die eigentlich nicht kodiert werden müssten. Stattdessen wird Gebrauch von kyrillischen Kleinbuchstaben gemacht, die unseren lateinischen Buchstaben teilweise zum Verwechseln ähnlich sehen oder je nach eingestellter Schriftart gar völlig identisch sind. Somit lässt sich das Problem seitens der Browser-Hersteller eventuell allenfalls dadurch umgehen, beim Auftreten von lateinischen und kyrillischen Zeichen im Domainnamen einen Hinweis auszugeben.

Unterdessen hat Mozilla-Entwickler Ben Goodger darauf hingewiesen, dass es erst gar nicht möglich sein sollte, solche offensichtlich zu Phishing-Zwecken verwendeten Domains zu registrieren. Weiter in die Details geht James Seng in seinem Weblog, in dem er VeriSign beschuldigt, den IDN-Standard von Anfang an gepusht, jedoch Sicherheitsmaßnahmen wie die IDN Guidelines von ICANN nicht ergriffen zu haben.