Internet Watch logo
記事検索
最新ニュース

Firefox、Mozillaの次回リリースでのIDN機能無効化は回避

ドメイン名をPunycodeで表示する方向に

 国際化ドメイン名(IDN)を悪用してURLを“偽装”できる問題について、「Firefox」「Mozilla」などのWebブラウザが次回リリースでIDN機能を無効化する意向を示していたが、URLの表示方法を変更することによりIDN機能は有効のままでのリリースを検討していることが明らかになった。mozilla.orgのスタッフであるGervase Markham氏が17日、自身のブログの中で方針を示した。

 この問題は、英数字と似たラテン文字などを使ったIDNによって、Webブラウザに表示されるURLを“偽装”できるというもの。セキュリティベンダーのSecuniaでは、キリル文字の「а」を使った「http://www.paypаl.com/」といったURLで、PayPalを装ったフィッシングサイトが開設できる例を紹介していた。

 この問題を回避するため、次回リリース予定のFirefox 1.0.1とMozilla 1.8 betaでは、IDN機能を無効化する方針を示していた。これに対して、新たに公表されたパッチでは、IDNを用いたドメイン名については英数字にエンコードした「Punycode」で表示する方法が示された。これにより、前述の「www.paypаl.com」にアクセスした場合には、Webブラウザ上では「www.xn--paypl-7ve.com」と表示されることになり、IDN機能を無効化せずにフィッシング問題を回避できるとしている。

 Markham氏は、このパッチについて短期的な措置としながらも、次回リリースでは標準で組み込んでいく方向としている。


関連情報

URL
  Gervase Markham氏のブログ(英文)
  http://weblogs.mozillazine.org/gerv/archives/007586.html

関連記事
FirefoxとMozillaの次回リリース版ではIDN機能を無効化(2005/02/15)
IDNの“脆弱性”はブラウザではなくレジストリ側の運用面の問題~JPRS(2005/02/09)
国際化ドメイン名がフィッシングに悪用される問題~Secuniaなどが指摘(2005/02/08)


( 三柳英樹 )
2005/02/21 13:44

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.