★阿修羅♪ 現在地 HOME > IT7 > 363.html
 ★阿修羅♪
次へ 前へ
「『国際化ドメイン名によるURL偽装』はレジストリが原因,ブラウザのせいではない」――JPRS【itpro】
http://www.asyura2.com/0411/it07/msg/363.html
投稿者 元SEのおじさん 日時 2005 年 2 月 10 日 19:16:16: W0dUExWAHOi7M
 

(回答先: FirefoxやMozillaなどにアドレス・バーや証明書の表示を偽装される脆弱性【Opera等も】 投稿者 元SEのおじさん 日時 2005 年 2 月 09 日 20:09:39)

[2005/02/09]

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050209/155958/

 日本レジストリサービス(JPRS)は2月9日,先ごろ報じられた「国際化ドメイン名(IDN)を使ったURL偽装」の問題は,ブラウザの実装ではなく,レジストリの運用が原因であると公表した(関連記事)。IDNで利用できる「他の文字に間違えそうな文字(英数字によく似た文字)」をアドレス・バーなどに表示するブラウザが原因ではなく,そういった文字を含むドメイン名を登録してしまうレジストリのポリシーが問題だとする。JPドメインのレジストリである同社では,IDNの導入当初から対応済み。

 同社によると,さまざまな言語をドメイン名に利用できるIDNのおいては,その導入時点から「他の文字に見間違いそうな文字を使って,悪意のあるサイトを正規のサイトに見せかける」といった問題は認識されていたという。そのため,IDN登録時の運用ルールで回避する方法が検討され,RFCやICANNのガイドラインとしてまとめられた。これらにのっとってIDNを登録すれば,今回のような問題はほとんど起きないという。実際,現在IDNに対応しているレジストリのほとんどは,これらに従って登録している,あるいは従うことを計画中だという。

 例えばJPRSでは,日本語JPドメイン名として使用できる文字を漢字/仮名/英数字に限定している。このため,今回の報道で例として挙げられた「paypаl.com(『а』はキリル文字)」は登録できても,「paypаl.jp」は登録できない。

 また,全角英数字や半角カタカナを含むJPドメイン名の登録が申請されたときには,それらをASCII英数字や全角カタカナに“正規化”して登録する。また,IDNに対応したブラウザも同じ正規化を行うので,全角/半角の違いで,異なるサイトにアクセスすることはないという。

◎参考資料
◆国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について

(勝村 幸博=IT Pro)

 次へ  前へ

▲このページのTOPへ      HOME > IT7掲示板



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。