Entender

Críticas/{ Paranoias | Viñetas } — 10/02/2005 @ 19:41

Hay cosas que hace el ser humano que todo el mundo entiende. Algunas obras de arte moderno, quizás, algunas opiniones, algunas religiones, algunas costumbres…

Pero hay cosas que no entiende nadie. :(

El Roto, 10/02/2005

Arreglando el IDN

De frikis/{ Hacking | Curiosidades } — 10/02/2005 @ 00:25

Chema escribe en su blog sobre cómo solventar al menos de forma temporal el problema de seguridad que plantean los IDN.

Lo primero, es aclarar que los IDN son los Internacional Domain Names, es decir, nombres de dominio con caracteres no-ascii, como pueden ser la ñ, letras con acentos, e incluso letras chinas o cirílicas.

Efectivamente, el uso de IDN puede provocar problemas de seguridad en los navegadores que soportan IDN. Explorer queda fuera por una vez del mercado de los bugs, pero no por buena implementación, sino por falta de ella. Además la implementación en Firefox y otros navegadores de mozilla es impecable, no tiene fallos. ¿Entonces dónde está el problema? en los carácteres homógrafos, son distintos, pero tienen igual grafía. Así el caracter а (а) se parece terriblamente a la “a” normal (incluso juntas: аa aа ¿cuál es cuál?), y en una url pueden provocar confusión, que pienses que estás en un sitio cuando realmente estás en otro.

Mi opinión es que para nada se debería cambiar un ápice de la implementación de los navegadores. Donde se debería atajar el problema es en la raiz, en los pingües beneficios que obtiene Verisign y otros con los registros de nombres, aunque sean ilícitos.

Los registradores deberían tener una lista de los caracteres extendidos y sus equivalencias homógrafas en ascii, y cuando se solicite un dominio, como por ejemplo pаypal.com, que se convierta al equivalente homógrafo, paypal.com y si está registrado, se deniegue el registro. Fácil, seguro, limpio.

No podemos pedir ahora a las personas sin conocimientos que miren en la barra de nosedónde la url de verdad que está cargando, ni marcar los caracteres IDN con otro color, por que no queda nada claro, y se exige mucho conocimiento al usuario. No. Controlar dominios fraudulentos debería ser como he dicho tareas de los registradores, que lo tienen además mucho más fácil que implementar parches y pseudo soluciones en todos los navegadores existentes.

Diario de sueños de Guillermo Pérez (aka bisho)