V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dallaslu
V2EX  ›  分享发现

Firefox 用户看过来!弱化 EV 证书后,出现的魔幻案例

  •  1
     
  •   dallaslu · 2019-11-27 20:29:49 +08:00 · 3987 次点击
    这是一个创建于 1823 天前的主题,其中的信息可能已经有所发展或是发生改变。
    22 条回复    2019-11-29 10:39:54 +08:00
    codehz
        1
    codehz  
       2019-11-27 20:40:40 +08:00 via Android
    jadec0der
        2
    jadec0der  
       2019-11-27 20:40:57 +08:00
    cool
    ershiwo
        3
    ershiwo  
       2019-11-27 20:42:51 +08:00   ❤️ 1
    network.IDN_show_punycode 设置为 true。
    eason1874
        4
    eason1874  
       2019-11-27 20:44:14 +08:00
    之前不是有人注册了一个看起来跟苹果网站一样的域名来说明这个问题了么,后来 Chrome 域名显示就改成 punycode 了,Firefox 居然没改。
    jadec0der
        5
    jadec0der  
       2019-11-27 20:45:54 +08:00
    @eason1874 都改成 punycode 的话 .中国 这种域名就更卖不出去了——虽然本来就没人用
    MicrosoftAccount
        6
    MicrosoftAccount  
       2019-11-27 20:51:08 +08:00 via Android
    手机上看着还是有区别
    i.imgur.com/KkBW8BO.jpg
    xiri
        7
    xiri  
       2019-11-27 20:55:55 +08:00
    chrome 一眼就看出区别了啊
    eason1874
        8
    eason1874  
       2019-11-27 20:57:59 +08:00
    @jadec0der #5 这种跟英文字母明显不一样的 Chrome 倒是没有转换。感觉让客户端解决这个问题,不如注册局直接禁止这种字符的使用。
    lhx2008
        9
    lhx2008  
       2019-11-27 21:01:59 +08:00   ❤️ 4
    这个时候就亮出了我的装 B 域名
    http://ડ.com/
    d5
        10
    d5  
       2019-11-27 22:05:53 +08:00 via iPhone
    🎮binance 李鬼就是这么骗到不少人的
    sobigfish
        11
    sobigfish  
       2019-11-27 22:34:53 +08:00
    @lhx2008 原来注册几个都没续费, 留着吧, 可能以后都不能新注册这种了
    Osk
        12
    Osk  
       2019-11-27 23:07:22 +08:00
    恕我直言,弱化 ev 证书真的是智障设计,ev 证书显示个绿锁要命吗?
    flyhaozi
        13
    flyhaozi  
       2019-11-27 23:23:19 +08:00
    被 ESET 拦截了,不装安全软件可能真的注意不到😂
    SharkIng
        14
    SharkIng  
       2019-11-28 04:38:30 +08:00
    Paypal 会有地域的跳转,而且看小锁颜色也不一样不知道有什么区别
    phy25
        15
    phy25  
       2019-11-28 09:31:23 +08:00 via Android
    比较好的做法是一旦识别到这种带可疑字符格式的域名就自动打回原型。好像是其他浏览器在做的。

    取消 EV 高亮的显示似乎是因为研究发现普通用户根本不看(虽然高级用户会看): https://chromium.googlesource.com/chromium/src/+/HEAD/docs/security/ev-to-page-info.md#Further-Reading
    nnnToTnnn
        16
    nnnToTnnn  
       2019-11-28 09:38:22 +08:00
    有趣,两个 URL 地址不一样

    一个是 https://paypal.com/
    另外一个是 https://раураӏ.com/

    由于字体的原因导致看起来类似,但是其实 pal 的 l 是不一样的,利用特殊字符导致字体比较类似,似乎又提供了一种 https 的攻击思路。


    https://dev.to/logan/homographs-attack--5a1p 介绍的攻击原理
    dallaslu
        17
    dallaslu  
    OP
       2019-11-28 10:55:00 +08:00
    @nnnToTnnn
    @codehz
    @eason1874
    @xiri

    所以说,Firefox 蠢得要死,跟 Chrome 的风一起杠 EV。人家是要干赛门铁克,灭掉 EV,但是做得比 Safari 过分( Safari 不显示公司信息但是有绿 bar ),怕面上不太好看,于是拉拢 Firefox,结果他们忘记自己家的 IDN 默认显示方式了,也跟着不显示绿锁……
    dallaslu
        18
    dallaslu  
    OP
       2019-11-28 10:56:25 +08:00
    @SharkIng 这里的李鬼只是一个实验网站,如果要是钓鱼站,做成一模一样也不是难事
    dallaslu
        19
    dallaslu  
    OP
       2019-11-28 10:58:58 +08:00
    @lhx2008
    @nnnToTnnn

    这类相似字符有非常之多,详细可看这里: http://www.unicode.org/Public/security/latest/confusables.txt
    codehz
        20
    codehz  
       2019-11-28 11:05:38 +08:00
    @dallaslu #17 其实 chrome 之前也有这个问题。。。后面针对相似字符处理了,但是 ff 没处理,就这么简单。。。
    lhx2008
        21
    lhx2008  
       2019-11-28 11:08:42 +08:00 via Android
    @dallaslu 我还整理过,有十几个,不过大部分 chrome 都会转,一半 firefox 会转,所以对 chrome 影响不大。我的那个是 chrome 也不转的。
    ohoh
        22
    ohoh  
       2019-11-29 10:39:54 +08:00
    win10 默认字体 chrome 不转, 肉眼这两个看不出来
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1084 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 18:49 · PVG 02:49 · LAX 10:49 · JFK 13:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.