ドメイン名の登録に有効なものを見つけようとしていますが、一部のUnicode文字は変わってしまいます。ユニコード文字の有効なドメイン名の登録
このアドレス:
http://xn--ippleman-dmj.com/
がに変換します:
http://gοοgle.com/
http://Nippleman.com/
と
http://xn--ggle-0nda.com/
はに変換する必要があり
しかし、何らかの理由でブラウザがそれを防止します。
これらのドメインの形式はどのように決定され、どのようなものがブラウザによってブロックされていますか?
http://xn--ippleman-dmj.com/は有効なURLであり、http://www.gοοgle.comは有効ではありません。しかし、Chromeは2番目のURLでUnicodeを置き換えるだけです。
IDN homograph attackを実行しようとしているようです。 Wikipediaのページには、Chromeがあなたを止めるために何をしているかがうまく説明されています。
まず、ご質問ください。 有効なドメイン名は、ブラウザに関係なくRFC1035に準拠する必要があります。つまり、ドメイン名全体が有効なASCII文字(オクテット単位)255を超えてはならず、大文字と小文字は区別されません。 IDNでもこの規格に準拠する必要があります。 IDNを表示するために、RFCはPunycodeの「xn--」変換のアイデアを出して進化しています。
次に、IDNホモグラフ攻撃の概念の証明があります。現在、Unicode.orgは混乱しやすいリストを更新し、維持しています。現在のバージョンTR39をダウンロードして再生できます。
以前は、ChromeとFirefoxは、ドメイン名の先頭をxn--に変換し、ブラウザのフォントキャッシュ内にあるUnicodeに対応させました。ブラウザーがフォントを見つけられない場合、生の 'xn--' punycodeドメイン名が表示されます。
これは既知の問題です。 Firefoxには、Punycodeドメイン名の表示を有効/無効にする手動オプションもあります。 Googleはコンバージョンポストバージョン58+を削除することに決めましたが、Firefox 53はデフォルトでPunycodeを表示するようになります。
私は、GoogleがTR39の中にないUnicodeを表示するのか、PunycodeをUnicodeに変換するだけですべてを削除するのかはわかりません。
私は実際に攻撃の仕組みを試しています。このChromeによれば、私の好みの言語の文字セットに含まれている文字のみが許可されていますが、ユニコード 'N'が英語に含まれていることに気づいていませんでした。 –
@ johnny5:想像以上にUnicodeの中にもっと類似した文字があります。あなたはここでそれを試すことができます:https://www.irongeek.com/homoglyph-attack-generator.php – mootmoot
@mootmoot明らかに、ウェブサイトは主要なトップレベルドメインと競合しておらず、単一の言語 –