IETF will beim Standard für internationalisierte Domains nachbessern

Die Internet Engineering Task Force will noch im März verschiedene Strategien erörtern, um der Gefahr von Phishing-Attacken über internationalisierte Domains entgegenzuwirken.

In Pocket speichern vorlesen Druckansicht 38 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Monika Ermert

Die Internet Engineering Task Force (IETF) will am Standard der internationalisierten Domains (IDN) nachbessern, um der Gefahr von Phishing-Attacken entgegenzuwirken. Beim 62. Treffen der Standardisierungsorganisation in Minneapolis kündigte die Vorsitzende des Internet Architecture Board (IAB), Leslie Daigle, ein Adhoc Kommittee an, das noch im März verschiedene Strategien erörtern soll. "Wir können uns vor dem Problem nicht drücken," sagte auch der neue IETF-Chef, Brian Carpenter.

Die betrügerische Kombination verschiedener Sprachen bei der Registrierung von Domainnamen, die durch die Einführung nicht-englischer Sprachsätze möglich wird, hatte im Februar für Aufsehen gesorgt. Experten hatten eine Paypal-Seite mit kyrillischem "a" zum Demonstrationszwecken eingerichtet. Die Mozilla-Foundation hatten darauf zunächst mit der Deaktivierung der IDN-Unterstützung reagiert; mittlerweile verfiel man auf die Lösung, internationalisierte Domains im Punycode anzuzeigen, um Verwechslungen unwahrscheinlich zu machen. Opera wählte in der Beta von Version 8 seines Webbrowsers eine Kombination aus Whitelist und Punycode-Anzeige.

Nach IETF-Kriterien wäre der IDN-Standard "praktisch tot", warnte IDN-Spezialist John Klensin in Minneapolis, wenn die Browserhersteller anfangen würden, eigene Zeichentabellen zu etablieren. Negativ auf die Verbreitung der nicht-englischen Domains könnte es sich auch auswirken, würde Microsoft bei seiner aktuellen Politik bleiben, die IDN nicht zu unterstützen. Klensin kritisierte die bisherige Haltung der IETF, die zwar auf mögliche Verwechslungen und gezielten Betrug mit den IDNs hingewiesen habe, dies allerdings zum Problem der anderen beteiligten Parteien erklärt habe. Klensin warnte, dass die Angelegenheit allein durch die Regel "nur eine Sprache pro Domain" nicht aus der Welt zu schaffen sei. Bei Paypal hätte die Regel zwar ausgereicht. Das für generische Domains zuständige Gremium der Internet Corporation for Assigned Names and Numbers (ICANN) hat nach der Attacke empfohlen, die Mischung lateinischer und kyrillischer Zeichen innerhalb einer Domain bei der Registrierung zu unterbinden. Klensin sagte allerdings, es blieben weitere Verwechslungsmöglichkeiten.

IAB-Mitglied Patrik Fältström, einer der Autoren der Standards, sagte, wenn jetzt von einer Überprüfung des Standards beziehungsweise der Zeichentabellen die Rede sei, gehe es nicht darum, den Standard komplett zu ändern. "Die Leute sind sich aber einig, dass die Verfahren für die Normalisierung der Zeichenkette, was wir als Stringprep und Nameprep bezeichnen, restriktiver sein können." Gleichzeitig wird das IAB laut Fälström weitere Richtlinien für Registries, Registrare und auch die Softwareentwickler ins Auge fassen. Eine Möglichkeit der Überprüfung könne zum Beispiel auch die Darstellung der ASCII-Entsprechung der nicht-englischen Domain bieten, dies aber bitte nur als Alternative.

Die .de-Registry DeNIC, die Nutzern ebenfalls Buchstaben aus verschiedenen europäischen Sprachen zur Registrierung anbietet, ließ wissen, dass innerhalb des gewählten Zeichensatzes keine graphischen Verwechslungen möglich seien -- zumindest nicht mehr als man mit 0 -- O oder l -- 1 schon aus Vor-IDN-Zeiten kennt. (Monika Ermert) / (jk)