Este tema não é propriamente novo, mas parece que o alerta o é. Também não sei se já terá sido debatido no forum. Tentei procurar mas, a palavra que define o problema, só tem 3 letras e a pesquisa não funciona.
De maneira que é assim: a grande maioria dos browsers, com excepção do IE, estão vulneráveis a uma falha que pode ser potencialmente bastante grave. E parece que não há solução à vista. É engraçado que, por uma vez, é o IE que não está vulnerável. Mas não é por ser melhor programado. É apenas por estar mais atrasado e ainda não ter implementado uma função que já está em uso na Internet.
Esta falha tem a ver com o Internationalized Domain Name (IDN). É algo que tem vindo a ser trabalhado, nomeadamente pela IETF, ver -> http://www.ietf.org/html.charters/idn-charter.html . É a função que permite utilizar caracteres especiais,é ç ã, etc, ou coisas mais complicadas, como os caracteres chineses, por exemplo, nos endereços dos hosts/domínios. Algo como http://www.eça-de-queirós.pt .
Pois bem, já desde há bastante tempo que parece ter havido quem alertou para os perigos da implementação desta solução, por não a considerar totalmente segura. Mas os avisos não foram atendidos e aí temos a solução já implementada (ver, por exemplo, http://www.afilias.info/faqs/idn_registrant_faq#e ).
Após toda esta conversa, passemos aos factos, vão a esta página, com um qualquer browser, que não o IE (ou variantes, como o Avant Browser, etc) e experimentem clickar nos 2 primeiros links. Depois de terem levantado o queixo, vão ao terceiro link para uma explicação mais detalhada e em que estado se encontra o problema.
Para terminar e reafirmar: não se trata de uma falha dos browsers. Estes parecem estar a implementar a solução correctamente. Parece é que a própria solução tem falhas.
Conclusão: muito cuidadinho a abrir links em sites suspeitos, sabe-se lá para onde estão a ir!!!
EDIT: já há uma solução (temporária) para o Firefox: http://forums.mozillazine.org/viewtopic.php?t=215221
EDIT: a solução indicada acima, desaparece se instalarmos alguma nova extensão ou "theme". Atenção a isso. Nesses casos teremos de tornar a aplicar a solução.
EDIT: a extensão "Spoofstick" foi alterada e agora já alerta quando estamos em presença de um IDN. Também pode ser colocada numa barra já existente. Para download: http://www.corestreet.com/spoofstick/firefox.html.
EDIT: já há uma extensão para o Firefox que nos alerta quando estamos aceder a páginas com caracteres especiais. Nem sempre estaremos em presença de uma site que nos pretende vigarizar, mas, pelo menos, dá-nos um aviso e podemos assim olhar para a página com mais atenção. Link. Instalei e faz o que é suposto. É pena ocupar uma barra inteira e as letras serem um pouquinho maiores do que seria desejável. Mas enfim, até sair uma solução definitiva da Mozilla, é o que se pode arranjar.
Página da Secunia a falar e precisar melhor o problema: http://secunia.com/multiple_browsers_idn_spoofing_test
De maneira que é assim: a grande maioria dos browsers, com excepção do IE, estão vulneráveis a uma falha que pode ser potencialmente bastante grave. E parece que não há solução à vista. É engraçado que, por uma vez, é o IE que não está vulnerável. Mas não é por ser melhor programado. É apenas por estar mais atrasado e ainda não ter implementado uma função que já está em uso na Internet.
Esta falha tem a ver com o Internationalized Domain Name (IDN). É algo que tem vindo a ser trabalhado, nomeadamente pela IETF, ver -> http://www.ietf.org/html.charters/idn-charter.html . É a função que permite utilizar caracteres especiais,é ç ã, etc, ou coisas mais complicadas, como os caracteres chineses, por exemplo, nos endereços dos hosts/domínios. Algo como http://www.eça-de-queirós.pt .
Pois bem, já desde há bastante tempo que parece ter havido quem alertou para os perigos da implementação desta solução, por não a considerar totalmente segura. Mas os avisos não foram atendidos e aí temos a solução já implementada (ver, por exemplo, http://www.afilias.info/faqs/idn_registrant_faq#e ).
Após toda esta conversa, passemos aos factos, vão a esta página, com um qualquer browser, que não o IE (ou variantes, como o Avant Browser, etc) e experimentem clickar nos 2 primeiros links. Depois de terem levantado o queixo, vão ao terceiro link para uma explicação mais detalhada e em que estado se encontra o problema.
Para terminar e reafirmar: não se trata de uma falha dos browsers. Estes parecem estar a implementar a solução correctamente. Parece é que a própria solução tem falhas.
Conclusão: muito cuidadinho a abrir links em sites suspeitos, sabe-se lá para onde estão a ir!!!
EDIT: já há uma solução (temporária) para o Firefox: http://forums.mozillazine.org/viewtopic.php?t=215221
EDIT: a solução indicada acima, desaparece se instalarmos alguma nova extensão ou "theme". Atenção a isso. Nesses casos teremos de tornar a aplicar a solução.
EDIT: a extensão "Spoofstick" foi alterada e agora já alerta quando estamos em presença de um IDN. Também pode ser colocada numa barra já existente. Para download: http://www.corestreet.com/spoofstick/firefox.html.
EDIT: já há uma extensão para o Firefox que nos alerta quando estamos aceder a páginas com caracteres especiais. Nem sempre estaremos em presença de uma site que nos pretende vigarizar, mas, pelo menos, dá-nos um aviso e podemos assim olhar para a página com mais atenção. Link. Instalei e faz o que é suposto. É pena ocupar uma barra inteira e as letras serem um pouquinho maiores do que seria desejável. Mas enfim, até sair uma solução definitiva da Mozilla, é o que se pode arranjar.
Página da Secunia a falar e precisar melhor o problema: http://secunia.com/multiple_browsers_idn_spoofing_test
Última edição:
