Sicherheitsforscher haben in den vergangenen Tagen demonstriert, dass moderne Browser bzw. Browser-Versionen noch immer Phishing über Domains mit Unicode-Zeichen unterstützen.
Die als "Punycode" kodierte Domain xn--e1awd7f.com beispielsweise wird automatisch in die mit Unicode-Zeichen dargestellte еріс.com umgewandelt, wobei die Zeichen e, p, i und c von "epic" nicht die normalen, sondern nahezu identisch erscheinende, andere Zeichen sind. Diese Darstellung lässt sich daher in den Browsern kaum von der "normalen" Domain epic.com unterscheiden.
Werbeblocker aktiv?
Vermutlich aufgrund eines Werbeblockers kann an dieser Stelle leider keine Werbung angezeigt werden. Als Blog ist diese Website jedoch darauf angewiesen, um diverse Kosten abdecken zu können. Vielleicht möchtest du Servaholics ja in deinem Werbeblocker als Ausnahme hinzufügen und so unterstützen? 🙂
Auf diese Weise sind z.B. Phishing-Angriffe möglich, insbesondere wenn die gefälschten Domains mit Unicode-Zeichen dank Zertifikat "sicher" wirken und sich noch weniger von der "normalen" Website unterscheiden.
Das Problem ist zwar nicht neu, die bisherigen Gegenmaßnahmen der Browser-Hersteller waren bislang jedoch nicht ausreichend.
Für Chrome wurde erst jetzt mit der neusten Version 58.0.3029.81 eine zusätzliche Lösung für das Problem implementiert: bugs.chromium.org. Die Firefox-Entwickler diskutieren noch eine Lösung, in der Zwischenzeit lässt sich dort unter about:config der Wert network.IDN_show_punycode auf true setzen, um die Punycode-Darstellung zu forcieren: bugzilla.mozilla.org.
Quellen: heise.de & wordfence.com
Nachtrag: Auch Opera hat mit Version 44.0.2510.1449 Gegenmaßnahmen implementiert: opera.com.