Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitsproblem mit IDN-Adressen in Safari

IDN-Adressen stellen momentan ein Sicherheitsrisiko dar, welches auch einer der Gründe für kürzlich erschienenes Update von Mozilla und Firefox war. Beide Browser stellen nun die IDN-Adressen als Zeichencode dar. Max Ziebell hat auf einer Webseite eine Demonstration dieses Problems veröffentlicht, welches in Safari immer noch besteht, indem er die IDN-Adresse apple.com registriert hat, die sich vom Design her an die echte apple.com-Adresse anlehnt und so das Sicherheitsproblem durch IDN-Adressen verdeutlicht. Anders als bei der echten apple.com-Adresse verwendet Max Ziebell ein anderes A aus einem höheren Zeichensatz in seiner IDN-Adresse. Für den Anwender ist dies jedoch nicht ersichtlich und dem Missbrauch sind Tür und Tor geöffnet. Wann Apple dieses Problem in Form eines Updates angeht, ist noch nicht bekannt.

Weiterführende Links:

iOS 18 und iPadOS 18 lassen sich ab sofort laden
iOS 18 und iPadOS 18 lassen sich ab sofort laden
iPhone 16 Pro: Tippen oder Wischen ignoriert, Nutzer melden Touchscreen-Fehlverhalten
iPhone 16 Pro: Tippen oder Wischen ignoriert, N...
Neues iPad mini
Neues iPad mini
iMac M4 angekündigt
iMac M4 angekündigt
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
Gegenüberstellung: AirPods 4 vs. AirPods Pro 2
Gegenüberstellung: AirPods 4 vs. AirPods Pro 2
Qualitätsprobleme bei MacBook-Displays: Apple tauscht Zulieferer aus, fing Charge aber ab
Qualitätsprobleme bei MacBook-Displays: Apple t...
Apples interne Einschätzung: Zwei Jahre Rückstand zur KI-Konkurrenz
Apples interne Einschätzung: Zwei Jahre Rücksta...

Kommentare

minerva
minerva02.03.05 10:58
welches Zeichen ist dann gefakt?
0
Fenvarien
Fenvarien02.03.05 11:00
Das a ist glaube ich kyrillisch, oder?
Up the Villa!
0
Murdock02.03.05 11:03
das kleine a
0
BAK
BAK02.03.05 11:05
ups, funktioniert aber erschreckend gut!
0
derondi
derondi02.03.05 11:17
Das Ganze ist sehr erschreckend, zumal Apple (wie üblich) keinen Ton von sich gibt wann das gefixed wird.

Zum Glück sind wir Deutschen davor aber weitgehend gefeit, dass uns bspw. ebay.de oder die Website der Bank gefaked wird:
Alle bei der DENIC registrierten Domains sowie die meisten anderen europäischen Domains dürfen nur aus lateinischen und den sog. diakritischen Zeichen bestehen (also z.B. ä, ö, ü, ß aber auch á oder æ), ein Unterschied ist damit zu sehen.

Diese freiwillige Beschränkung wurde bei der Einführung noch belächelt - jetzt sehen wir, dass da jemand nachgedacht hat!
0
der_seppel
der_seppel02.03.05 11:34
obwohl ich die neueste Version von Firefox habe, zeigt auch dieser die gefakte apple seite und in der Adresszeile ist auch kein Unterschied zu sehen..

jemand eine Idee wo ich mir das sicherheitsupdate runterladen lann?

gruss der_seppel
Kein Slogan angegeben.
0
mkummer
mkummer02.03.05 11:36
Kann hierzu nur SAFT für Safari empfehlen: hat die gefakte Seite im Beispiel sofort erkannt...

mk
Wir sind die Guten! (Mac-TV)
0
Mars02.03.05 11:37
Gratulation, mtn, wieder einmal voll daneben gehaut mit der Meldung. Die neuesten Versionen der Mozilla unterstützen IDNs sehr wohl, aber sie zeigen die IDNs nicht mit Umlauten an, sondern als Punycode. Das ist aber auch nur eine Übergangslösung.
0
smokeonit
smokeonit02.03.05 11:43
mir ist so eine paypal phish seite reingemailt...

habe das sofort an paypal geforwarded... das apple nicht sofort ein update fuer safari rausschickt finde ich nicht gut... das firefox so schnell reagiert hat finde ich toll dagegen... nur bloed das ich safari lieber benutze... aber im zweifel oeffne ich die website mit firefox, da sehe ich sofort ob es ein spoof ist...:-y
0
Aronnax02.03.05 11:43
@der_seppel
hier:

so sollte dann die Adresse ausehen: www.xn--pple-43d.com
0
Frank
Frank02.03.05 12:13
Ist eigentlich nicht Apples Problem. Der Fehler liegt im System. Wurde schon bei der Entwicklung der IDNs disktutiert, aber nicht ernst genommen.
0
Agrajag02.03.05 12:57
Camino zeigt die URL auch im Punycode an, schon in der Statuszeile.
0
Rantanplan
Rantanplan02.03.05 13:04
Das ist, wie Frank schon sagt, kein Fehler eines Browsers, sondern ein Fehler im System. Den Punycode anzuzeigen führt das System schlicht und ergreifend ad absurdum.
Wenn ich nicht hier bin, bin ich auf dem Sonnendeck
0
JustDoIt
JustDoIt02.03.05 13:33
Punnycode anzeigen ist Blödsinn.

Vielleicht könnte das Betriebssystem für Abhilfe sorgen, indem es z.B. alle Buchstaben in der beim System eingestellten Standard Landessprache normal anzeigt, und alle Zeichen anderer Sprachen (Codierungen) zusätzlich markiert (farbig hinterlegen, unterstreichen etc.).

Ich meine das Problem müßte schon System weit gelöst werden und nicht nur auf Applikationsseite.
0
JustDoIt
JustDoIt02.03.05 13:42
Vielleicht überlege ich mir das nochmal mit Safari und nutze Firefox. Dann wären auch die Bookmark Dateien zwischen Firefox unter Windows und unter OS X austauschbar. Oder sehe ich das falsch?
0
der_seppel
der_seppel02.03.05 14:43
@ Aronnax:
Danke. Funktioniert. hatte tatsächlich noch Version 1.0...

Schade nur das firefox sein update auf 1.0.1 nicht selber erkennt...
Kein Slogan angegeben.
0
ut02.03.05 15:40
Leute, ist ja alles schön und gut mit den Bemühungen. Wenn man da aber nix gescheites hat, bringt das noch weniger.

Wichtige Adresse sollte man eh in den Bookmarks haben oder einfach mal eintippen. Dann kann da auch so schnell nix passieren. (z.B. Online-Banking, Webmailer,...)
0
Aronnax02.03.05 15:58
@ der_seppel
von wegen ..
"Schade nur das firefox sein update auf 1.0.1 nicht selber erkennt..."
das wird er irgendwann auch
nur hatten sie es noch nicht fertig und es gab (gibt) dabei auch noch andre Probleme siehe:


und @ JustDoIt
..Bookmark Dateien zwischen ..
ja, das geht problemlos - es gibt auch Erweiterungen, die das dann automatisch machen.

und "Punnycode anzeigen ist Blödsinn."
Es sagt ja niemand, dass es die ultimative Lösung ist - nur ist sie jetzt schnell einzubauen und fürs erste die beste Lösung.


0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.