Umlaut-Domains in Mozilla/Firefox: Anzeigen statt abschalten
Eigentlich hatten die Mozilla- und Firefox-Entwickler wegen eines Phishing-Tricks die Nutzung von IDN-Domains in der Standardeinstellung unterbinden wollen; nun sollen sie stattdessen im Punycode angezeigt werden.
Die Entwickler der Mozilla-Foundation wollen die Nutzung von Domains mit Umlauten und anderen Sonderzeichen in den nächsten Versionen von Mozilla und Firefox nun doch nicht in der Standardeinstellung unterbinden. Erst vergangene Woche hatte das Mozilla-Team bekanntgegeben, dass man die Unterstützung von Internationalized Domain Names (IDN) vorerst per Default deaktivieren wolle, um den jüngst bekannt gewordenen Phishing-Trick zu umgehen.
Bei dem Trick wurden Domainnamen mit länderspezifischen Sonderzeichen registriert. Einige dieser Sonderzeichen in IDNs sehen jedoch den Buchstaben aus dem lateinischen Alphabet sehr ähnlich; so sieht zum Beispiel ein kyrillisches kleines a genauso so aus wie ein lateinisches kleines a. Allein der Unicode unterscheidet sich. Dies wurde bei der Demonstration der Sicherheitslücke mit der Domain paypal.com gezeigt, bei der das erste a ein kyrillisches ist.
Solche Domains sollen nun in Zukunft weiter auch mit den Standardeinstellungen funktionieren, der Name der Domain soll jedoch in dem zugehörigen Punycode angezeigt werden. Dieser kommt bereits bei der Namensauflösung beim Domain Name Service (DNS) zum Einsatz. Das erwähnte paypal.com mit kyrillischem a würde dann in der Adressleiste des Browsers als "http://www.xn--pypal-4ve.com" angezeigt. Über eine Konfigurationsoption lässt sich aber auch das alte Verhalten wieder herstellen.
Der entsprechende Code wurde in die Entwicklungszweige von Mozilla und Firefox bereits eingepflegt. Eine alternative Lösung stellt die Erweiterung Firefox-IDN Info dar, die bei dem Besuch von Web-Seiten mit Sonderzeichen über Popup auf die Gefahr aufmerksam machen kann. Diese Erweiterung funktioniert auch mit der aktuellen Firefox-Version.
Die Mozilla-Entwickler hatte vorher mehrfach betont, dass das Problem mit den Phishing-Attacken über manipulierte IDNs eigentlich kein Fehler der Browser sei, sondern ein Problem in der IDN-Implementation. Die Schwäche sei seit langem bekannt und es gebe Richtlinien, wie Provider, Registries und Registrare dieses Problem umgehen könnten. Dass ähnlich aussehende Zeichen in Domain-Namen einmal Sicherheitsprobleme aufwerfen würden, findet schon im Punycode-RFC 3492 Erwähnung. Mitte 2002 wiesen zudem zwei israelische Studenten ebenfalls auf dieses Problem hin.
Betroffen von dem Problem sind grundsätzlich alle Browser, die IDNs unterstützen. Bei Opera arbeitet man nach Medienberichten ebenfalls an einer Lösung des Problems für Opera 8.0. Microsofts Internet Explorer unterstützt in der Standardinstallation keine IDNs, sie lassen sich aber durch Plug-ins nachrüsten. (thl)
