Cagada con los dominios internacionales
Pues parece q la implementación de los IDN (Internation Domain Names, como por ejemplo "españa.com") por parte de Verisign tiene un fallo de la jostia. De manera q prácticamente todos los navegadores q los soportan de forma nativa se ven afectados (a excepción del Internet Explorer q está tan anticuado q solo se ve afectado si se instala el plugin i-Nav para IDNs).
El fallo consiste en q se puede spoofear (falsificar, por así decirlo) perfectamente el dominio q queramos conociendo un poquillo el funcionamiento de los IDN. Aquí tenéis una demostración: http://www.shmoo.com/idn/
De momento los únicos en aportar soluciones son la peña de Mozilla q dicen q desactivemos el soporte para IDN, pero los desarrolladores de Opera dicen q no les da la gana, puesto q han seguido correctamente la especificación IDN (mira q son burros).
Asín q na, si esto no se arregla pronto tendremos otra oleada de ataques de phishing (engañarte haciéndote creer q estás conectado al sitio correcto cuando no lo estás), pero bueno, fijo q no se entera casi nadie, como casi siempre :p
ACTUALIZACIÓN: Apenas 12 horas después estaba disponible el snapshot de mozilla para sus navegadores (los parches fueron creados 20 min. tras descubrirse la vulnerabilidad, para q luego vaya diciendo el billipuertas q mozilla tarda en actualizarse): http://www.boingboing.net/2005/02/08/mozilla_and_firefox_.html
El fallo consiste en q se puede spoofear (falsificar, por así decirlo) perfectamente el dominio q queramos conociendo un poquillo el funcionamiento de los IDN. Aquí tenéis una demostración: http://www.shmoo.com/idn/
De momento los únicos en aportar soluciones son la peña de Mozilla q dicen q desactivemos el soporte para IDN, pero los desarrolladores de Opera dicen q no les da la gana, puesto q han seguido correctamente la especificación IDN (mira q son burros).
Asín q na, si esto no se arregla pronto tendremos otra oleada de ataques de phishing (engañarte haciéndote creer q estás conectado al sitio correcto cuando no lo estás), pero bueno, fijo q no se entera casi nadie, como casi siempre :p
ACTUALIZACIÓN: Apenas 12 horas después estaba disponible el snapshot de mozilla para sus navegadores (los parches fueron creados 20 min. tras descubrirse la vulnerabilidad, para q luego vaya diciendo el billipuertas q mozilla tarda en actualizarse): http://www.boingboing.net/2005/02/08/mozilla_and_firefox_.html
publicado por danipage a las 9:33 p. m.
#
