看不清楚 ? 可以放大數倍看清楚
放大後
apple, аррӏе
還是沒有分別 ? 閣下會按哪一個超連結 ?
https://www.apple.com/, https://www.аррӏе.com/
一個是蘋果公司的官方網站
另一個則是 釣魚網站 ,但這個 釣魚網站 是為了測試閣下的瀏覽器有沒潛在危險
資料來源
https://www.xudongz.com/blog/2017/idn-phishing/
根據測試者的資料
網頁使用「國際化域名 Internationalized Domain Name (IDN)」讓網站能支援非英文字元的符號
雖然域名是不能重覆,但使用相似符號便不受限制,而且能夠誘騙瀏覽者以為瀏覽正常網站
測試網站的 https://www.аррӏе.com/ 是使用了「IDN 攻擊」將看似與 https://www.apple.com/ 的網站用其他字元裝扮而成
apple 的 unicode 為 U+0061, U+0070, U+0070, U+006C, U+0065
аррӏе 的 unicode 為 U+0430, U+0440, U+0440, U+04CF, U+0435
測試網站域名 аррӏе 實際是使用 西里爾字母 ,而非英文字母,但在視覺上與英文字母差不多相同
根據測試者的結果
Safari 預設會自動將非英文字母的域名轉換回「Punycode」
Internet Explore 雖然根據系統語言設定,但仍有潛在危險
但 Firefox 、 Chrome 、 Opera 預設不會,會直接以 unicode 文字顯示域名
Chrome 在 版本58 修正成會轉換域名
Firefox 則保留設定權於使用者修正
Opera 則暫時沒有任何解決方法
在下亦測試 Konqueror 、 Edge 會自動將域名轉換
由於 Firefox 能讓使用者自行設定,以下是 Firefox 的設定操作
在 Firefox 網址列輸入
about:config
並同意修改 Firefox 設定
在搜尋列輸入 network.IDN_show_punycode 並將設定值改為 true 便可將非英文字母的域名轉換回 punycode
沒有留言 :
張貼留言