Mozilla entfernt Unterstützung für Umlaut-Domains

21. Februar 2005, 09:29
39 Postings

Haben sich als Sicherheitslücke erwiesen – Starke Kritik an Registrierungsbehörde

Nachdem vor einigen Tagen eine Sicherheitslücke im Zusammenhang mit Umlaut-Domains in praktisch allen modernen Browsern bekannt wurde, reagiert das Mozilla-Projekt nun ungewohnt drastisch. Man habe sich in den letzten Tagen zahlreiche Möglichkeiten durch den Kopf gehen lassen, sei aber zum Schluss gekommen, dass momentan lediglich das Deaktivieren des entsprechenden Features Schutz vor Angriffen biete, so Entwickler Gervase Markham in seinem Weblog.

Attacke

Mittels Sonderzeichen lassen sich nämlich ohne Probleme Phishing-Attacken durchführen, so sieht in den meisten Browsern ein Kyrillische a genau so wie ein "normales" a aus, auf diese Weise kann leicht falsche Authentizität vorgetäuscht werden. Die Browser-EntwicklerInnen sehen den Ball nun bei den Registrierungsbehörden, die einem solchen Betrug einen Riegel vorschieben müssten, selbst könne man hier wenig tun.

Update

Entsprechend soll die Unterstützung für Umlaut-Domains nun mittels Update in den Mozilla-Produkten - konkret geht es dabei um Mozilla Firefox 1.0.1 und eine neue Beta von Mozilla 1.8 - deaktiviert werden. Wer diese weiterhin brauche, kann sie künftig mittels einer Extension reaktivieren, werde dabei aber auf das Gefahrenpotential hingewiesen. Mittelfristig hoffe man auf ein Einlenken der Registrierungsbehörden, so Markham, eventuell könne auch an ein selektives Freigeben für "freundliche" Top Level Domains gedacht werden. (apo)

  • Bild nicht mehr verfügbar
Share if you care.