Stopfen Sie die üble Zeichensatz-Falle im Firefox

  • TIPP

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Stopfen Sie die üble Zeichensatz-Falle im Firefox

    Stopfen Sie die üble Zeichensatz-Falle im Firefox
    Firefox-Nutzer könnten sich nach wie vor mittels einer fiesen Methode in die Phishing- oder Virenfalle locken lassen. Aber Sie nicht!
    von Gaby Salvisberg 19.02.2018

    Schauen Sie sich einmal die folgenden beiden Domainnamen an. Die sehen genau gleich aus, richtig?

    аррӏе.com
    apple.com

    Sind sie aber nicht! Die untere ist tatsächlich die Domain des Mac- und iPhone-Herstellers Apple. Die obere sieht hingegen nur so aus. Wenn Sie die Domain kopieren und der Adresszeile im Firefox verfüttern, landen Sie hier:

    Das ist zum Glück keine gefährliche Seite, sondern die Webseite eines IT-Profis, der in seinem Blogpost auf ein gefährliches Problem aufmerksam macht, das allerdings schon sehr lange bekannt ist.

    Es gibt im Unicode-Zeichensatz nicht nur unser westliches Alphabet plus Ziffern und Sonderzeichen, sondern auch Zeichen aus vielen anderen Zeichensätzen, z.B. dem kyrillischen. Und einige dieser Zeichen sehen unseren zum Verwechseln ähnlich. Die Gefahr besteht erst, seit so genannte «Punycode Domains» möglich wurden. Das sind Domainnamen mit Zeichen ausserhalb des westlichen (eigentlich englischen) Alphabets. Damit wurden damals übrigens auch Umlautdomains möglich (z.B. sprüngli.ch mit ü statt ue).

    Das Problem mit den Punycode-Domains ist gefährlich, weil Betrüger damit sogar sehr vorsichtige User auf gefälschte Webseiten locken könnten. Die Ursache wurde in einigen Browsern schon angegangen. Zum Beispiel der Internet Explorer unter Windows 7 findet beim Versuch, die mit Unicode-Zeichen manipulierte Domain anzusurfen: «Die Datei (sic!) аррӏе.com wurde nicht gefunden». Er scheint Punycode überhaupt nicht zu verstehen. Diesmal verzeihen wir ihm, dass er etwas nicht kann. Googles Browser Chrome öffnet die Seite, wandelt aber die Unicode-Zeichen in der Adresszeile direkt in den Punycode um. Hier dürfte dem User auffallen, dass etwas nicht stimmt. Ebenso verhält sich übrigens Microsofts Edge-Browser unter Windows 10.

    Von den weitverbreiteten Browsern ist es nur noch Firefox, der dem Nutzer die Tatsache unterschlägt, dass die Domain ihn in die Falle locken möchte.
    Aber wie können wir Ihnen beweisen, dass es sich bei «аррӏе.com» nicht um die gleichen Zeichen handelt wie bei «apple.com»? Folgendes können Sie selbst ausprobieren.

    Wir nehmen Excel zu Hilfe und kippen die ersten fünf Buchstaben der Fakedomain «аррӏе.com» in je eine Excel-Zelle von A1 bis E1, genau wie die ersten fünf der echten Apple-Domain apple.com, in A4 bis E4. Gleich darunter können wir uns mit der Funktion UNICODE (z.B. =UNICODE(A1)) die Nummer des entsprechenden Zeichens anzeigen lassen.

    Schon sehen Sie, dass es sich bei den oberen Buchstaben um die Unicode-Zeichen 1072, 1088, 1088, 1231 und 1077 handelt, also völlig andere als die unteren: 97, 112, 112, 108 und 101.

    Abhilfe

    Das Beispiel mit Excel diente nur der Verdeutlichung des Problems. Logisch, dass Sie jetzt nicht jeden Link vor dem Anklicken einer solch aufwändigen Excel-Prüfung unterziehen können. Es gibt aber einen Workaround für Firefox, damit jener beim Aufrufen einer Domain ebenfalls die Punycode-Variante anzeigt. Tippen Sie in die Adressleiste des Firefox die Zeichenfolge about:config (ohne Leerzeichen), drücken Sie Enter und klicken Sie auf den Button Ich bin mir der Gefahren bewusst.
    Tippen Sie oben im Suchfeld die Zeichenfolge network.IDN_show_punycode ein.

    Schalten Sie diesen Eintrag per Doppelklick auf True um und schliessen Sie den Konfigurations-Tab wieder. Wenn Sie jetzt die Fake-Seite «аррӏе.com» besuchen wollen, zeigt auch der Firefox die Punycode-Variante der Domain an: IDN Homograph Example.

    Don't panic: Nicht jede Punycode-Domain ist gefährlich. Wenn Sie jetzt eine Umlautdomain besuchen, wird auch bei dieser der Punycode angezeigt. Das ist aber normal. Viele etablierte Firmen leiten die Umlautdomains wie orellfüssli.ch oder sprüngli.ch ohnehin auf die schon seit Jahren registrierten Varianten mit ae, oe und ue um (z.B. spruengli.ch).


    Quelle (incl. Bilder): Stopfen Sie die üble Zeichensatz-Falle im Firefox