Ден на безопасния интеренет
От: Златко Попов <zlatkopopov __@__ fsa-bg< dot >org>
На: 8-02-2005@11:37 GMT+2
Оценка: 1/НеутраленЕто нещо пряко свързано с темата:
http://www.netinfo.bg/?tid=40&oid=690671
Поздрави!
[Отговори на този коментар]
Още 3 наскоро открити проблема :-(
От: blind_fish
На: 8-02-2005@11:44 GMT+2
Оценка: 1/НеутраленОще 3 наскоро открити проблема с Firefox и Mozilla може те да видите тук: http://www.mikx.de/firedragging/
[Отговори на този коментар]
abouth:config не работи
От: growchie
На: 8-02-2005@12:42 GMT+2
Оценка: 1/Неутралентрика с about:config не работи. като се рестартира браузъра проблема остава истинският workaround e:
The workaround for firefox seems to be an edit to your compreg.dat.
For windows
c:\Documents and Settings\$USER\Application Data\Mozilla\Firefox\Profiles\default.random\compreg.dat
For UNIX
~/.mozilla/firefox/default.random/compreg.dat
Removing the line that references IDN makes the problem go away. Using Find, there was a single reference for the UNIX host and 2 for the Win32 host. Removing the lines and restarting the browser makes the attack fail regardless of the about:config/userprefs.js value.
Here's an example entry.
{4byteshex-2byteshex-2byteshex-2byteshex-6byteshex},@mozilla.org/network/idn-service;1,,nsIDNService,rel:libnecko.so
Cheers,
-BeesT
"http://forums.mozillazine.org/viewtopic...
Няколко думи за IE. При теста на http://secunia.com/multiple_browsers_id... бозата иска да си инсталира актив Х контролка от Verisign и след това резултатие с експлоръра са си абсолютно същите.
Явно проблема не е в опън сорс разработчиците, а в самата IDN система щом всички имплементации са проблемни (или всички преписват от едно място :) )
[Отговори на този коментар]
cool
От: Станимир Марков
На: 8-02-2005@14:54 GMT+2
Оценка: 1/Неутраленпроблема не е в имплементацията, проблема идва от това че има много букви които изглеждат еднакво в различните charsets. Това се очертава да е много неприятен проблем за в бъдеще :-) според мен няма какво да направят :-)
[Отговори на този коментар]
Към: cool
От: weq <vi__at__vitamin[ точка ]nu>
На: 8-02-2005@16:55 GMT+2
Оценка: 1/НеутраленПросто browser трябва да показва чист ACE string в скоби до самия адрес в адрес bar-а, когато работи с IDN.
[Отговори на този коментар]
Към: abouth:config не работи
От: edi <we __@__ mail[ точка ]bg>
На: 10-02-2005@6:38 GMT+2
Оценка: 1/Неутраленедно уточнение :)
стринга
"{4byteshex-2byteshex-2byteshex-2byteshex-6byteshex},@mozilla.org/network/idn-service;1,,nsIDNService,rel:libnecko.so"
може да не се изтрива. Просто частта
"network/idn-service;1,,nsIDNService"
става
"network/idn-service;0,,nsIDNService"
[Отговори на този коментар]
Mac OS X и IDN
От: Мравка
На: 8-02-2005@14:37 GMT+2
Оценка: 1/НеутраленЕксплойта работи идеално и със Safari и Firefox под Mac
OS X.
За потребителите на OS X, файла който трябва да се
промени е
$HOME/Library/Application Support/Firefox/Profiles/
xxxxxxx.default/compreg.dat
В него трябва да се променят два реда, като стойността
1 да се промени на 0.
Редовете, вече променени са:
{62b778a6-bce3-456b-8c31
-2865fbb68c91},@mozilla.org/network/idn-service;
0,application/x-mozilla-
static,nsIDNService,necko_core_and_primary_protocols
@mozilla.org/network/idn-service;0,{62b778a6-bce3
-456b-8c31-2865fbb68c91}
[Отговори на този коментар]
Opera отричат ?
От: FuckBTK <fuckbtk __@__ btk< dot >bg>
На: 8-02-2005@18:27 GMT+2
Оценка: 1/НеутраленOpera: They believe they have correctly implemented IDN, and will not be
making any changes.
Иначе този толкова симпатичен browser...
[Отговори на този коментар]
Към: Opera отричат ?
От: Hapkoc
На: 8-02-2005@18:47 GMT+2
Оценка: 1/НеутраленПо-скоро не отричат, а отказват да променят кода си. По всяка вероятност наистина са имплементирали коректно IDN, проблема е в самия IDN.
Не знам, но честно казано ми се струва адски голяма глупост тези IDN. Не ми е ясно на кой му е изтрябвало такова нещо!
[Отговори на този коментар]
еми ъпдейт
От: Karaman
На: 8-02-2005@20:17 GMT+2
Оценка: 1/НеутраленСпоред мен просто работата с IDN и/или IDN трябва да претърпи промяна. Стандартите и разните други подобни измислици са направени с цел да улеснят нас, потребителите им. Следователно, ако не са хубави, трябва или да се избягват, или да се променят.
[Отговори на този коментар]
Konqueror ?
От: KDE_fen
На: 9-02-2005@6:29 GMT+2
Оценка: 1/НеутраленПри опит с Konqueror се получава само:
An error occurred while loading
;---------8<--------
http://www.p?ypal.com/:
Unknown host www.p
;---------8<---------
значи ли това че той не е афектиран от този
бъг ?
[Отговори на този коментар]
IDN - има ли нужда изобщо
От: venzo
На: 9-02-2005@7:20 GMT+2
Оценка: 1/Неутраленспоред мен това е просто недоглеждане при реализацията на IDN и доста бързо момчетата от mozilla ще го оправят. всъщност аз си мисля, че наистина е глупаво това с IDN. т.е. проблемите тепърва предстоят. представете си, че трябва да отворите domain на японски - колко от вас поддържат японска клавиатура за да го напишетеа? същото е и за света, който използва само latin - за него да напише domain на кирилица ще е също толкова досадно...
[Отговори на този коментар]
Към: IDN - има ли нужда изобщо
От: Karaman
На: 9-02-2005@7:40 GMT+2
Оценка: 1/НеутраленМного си прав, наистина няма нужда от това нещо, то бива бива локализации, ама това е направо подигравка с философията на Интернет според мен!
[Отговори на този коментар]
Към: IDN - има ли нужда изобщо
От: Debugger <zonered< at >mail[ точка ]bg>
На: 9-02-2005@7:50 GMT+2
Оценка: 1/НеутраленБаси "бъга". Аз не виждам никакъв проблм в Мозила браузърите. Проблемът е в IDN - технологията. Какво е виновен браузърът, че ти като кликнеш на линка http://www.pаypal.com/ с кирилско "а", той ти показва това, което си му казал? Браузърът си върши работата перфектно, а ти го обвиняваш, че не се е "сетил" сам, че трябва да замени кирилското "а" с латинско. И аз споделям мнението, че IDN технологията е велика глупост и само може да доведе до сегментация на Web.
P.S. Програмистите от Opera са пичове :)
[Отговори на този коментар]
Към: Към: IDN - има ли нужда изобщо
От: Hapkoc
На: 9-02-2005@9:44 GMT+2
Оценка: 1/Неутраленпрограмистите от опера не са пичове, пичове са програмистите от мозила, които моментално са се хванали да мислят как да оправят проблема, а проблема наистина е в IDN, не в браузъра, но това не пречи ни най-малко да е security issue, което от своя страна налага промяна на кода.
[Отговори на този коментар]
Към: IDN - има ли нужда изобщо
От: weq <vi __@__ vitamin< dot >nu>
На: 9-02-2005@15:17 GMT+2
Оценка: 1/Неутрален[quote]
проблемите тепърва предстоят. представете си, че трябва да отворите domain на японски - колко от вас поддържат японска клавиатура за да го напишетеа?
[/quote]
Леле... Пич не ти трябва японска клавиатура за да напишеш японски domain! Просто ще въведеш ACE string на domain-а който ще има вид xn--<тука_латинските>-<тука_ASCII_кодирани_не_латински>.com.
Стандартите са си много добре. Правиха ги умни хора. Сега browser-ите които поддържат IDN трябва само да се погрижат да не бъдат излъгвани хората.
Всички IDN записи на name серверите са в ACE string-ове, след това ти като въведеш на някъв език, browser го превежда в ACE и ресолва. Иначе можеш да дадеш чисто ACE, и няма разлика освен че в адрес бара се показва различно. Та browser може да премени схема че ако отваря страница със IDN адрес, и адрес съдържа букви които се срещат в няколко алфавита, то може например да каже по определен начин на user-а че това е IDN, или още нещо може да направи.
ACE -- ASCII compatible encoding.
IDN е хубаво нещо, защо да има само латиница?
Освен това има милиони сайтове които са си на локален език, без поддържка на английски, те така или иначе не представляват голям интерес за хора които не говорят този език. И най накрая, link-ове не трябва да въвеждате, те са си в html-а, така ще можете да бродите сред японските сайтове свободно.
Редактиран на: 9-02-2005@19:17
[Отговори на този коментар]
Открита е нова уязвимост в Mozilla
базираните браузъри, Opera и Safari. Уязвимостта е свързана
с поддръжката на "International Domain Name" (IDN), или
използване на различни азбуки освен латинската за URL адрес,
в модерните браузъри.
