Mozilla und Firefox schalten Unterstützung für internationalisierte Domains aus
Internationalized Domain Names, also etwa Domains mit Umlauten, sollen wegen der Gefahr von Phishing-Attacken in den nächsten Versionen der Open-Source-Webbrowser standardmäßig ausgeschaltet sein.
Die Entwickler der Mozilla-Foundation reagieren auf den jüngst bekannt gewordenen Phishing-Trick mit Internationalized Domain Names (IDN), also beispielsweise Domains mit Umlauten im Namen: In den kommenden Beta-Versionen von Mozilla 1.8 und im geplanten Firefox 1.0.1 wird die IDN-Unterstützung ausgeschaltet. Über ein XPI werden Anwender die IDN-Unterstützung wieder einschalten können, sollen dabei aber deutlich auf die möglichen Gefahren hingewiesen werden. Diese vorläufige Lösung gab Gervase Markham für die Mozilla-Foundation bekannt.
Die Entwickler betonen nochmals, dass das Problem mit den Phishing-Attacken über manipulierte IDNs eigentlich kein Fehler der Browser sei, sondern ein Problem in der IDN-Implementation. Die Schwäche sei seit langem bekannt und es gebe Richtlinien, wie Provider, Registries und Registrare dieses Problem umgehen könnten. Trotzdem aber sehe man sich in der Verantwortung, die User vor solchen Attacken zu schützen, auch wenn die vorläufige Lösung unbefriedigend sei. Man hoffe, IDN-Support in künftigen Versionen wieder einschalten zu können; möglicherweise werde man einen Weg finden, IDNs nur für diese Top Level Domains zu ermöglichen, die sorgfältig mit den IDNs umgingen.
Mit den so genannten "homograph attacks" können Angreifer Anwendern täuschend echt gemachte Seiten im Netz unterjubeln, um Passwörter und Kreditkartennummern zu sammeln. Über ähnlich oder gleich aussehende länderspezifische Zeichen in verschiedenen Zeichensätzen werden die Anwender auf vermeintlich vertrauenswürdige Websites gelenkt, die durch die URL und auch durch die SSL-Zertifikate nicht direkt als gefälscht zu erkennen sind. Dass ähnlich aussehende Zeichen in Domain-Namen einmal Sicherheitsprobleme aufwerfen würden, findet schon im RFC 3492 Erwähnung. Mitte 2002 wiesen zudem zwei israelische Studenten ebenfalls auf dieses Problem hin. Betroffen von dem Problem sind grundsätzlich alle Browser, die IDNs unterstützen -- Microsofts Internet Explorer bietet dies in der Standardinstallation nicht, lässt sich aber durch Plug-ins für IDNs erweitern. (jk)
