国際ドメイン名(IDN)にはどのようなリスクがありますか?
IDNは基本的に、プレフィックスが「xn--」のドメインのGUI表示の変更であることを理解しています。
これらのドメインに関して、企業に何をアドバイスすればよいですか?
たとえば、企業はドメインを積極的に探して、代替の(似たような)文字セットで登録する必要がありますか?どのツール、またはロジックに従う必要がありますか?
既知の証明書検証の問題はありますか?
最も危険なのは、いわゆるIDNスプーフィング攻撃であり、視覚的に類似したシンボルが原因で発生する可能性があります。これは、Unicodeを導入しようとするときの副作用です。
このトピックに関して、私は公式のUnicodeコンソーシアムテクニカルレポートをお勧めします: http://www.unicode.org/reports/tr36/ 、タイトルUnicodeセキュリティの考慮事項およびウィキペディアの記事: http://en.wikipedia.org/wiki/IDN_homograph_attack 、およびいくつかのより興味深い読み物: http://www.lookout。 net/test-cases/idn-and-iri-spoofing-tests / 。
また、補遺として-自分自身を保護するためのFireFox拡張機能: https://addons.mozilla.org/en-US/firefox/addon/621/ 。
私は数年前にwww.lookout.net/tag/confusables/でこれについてもっと説明する小さなシリーズを書きました。
あなたの質問に答えるために、私はあなたが彼らのドメインのすべての紛らわしいバージョンを登録するように会社に助言することを提案しません-それは実用的または不可能です。ここで責任を負うのは、ユーザーエージェント(Webブラウザーと電子メールクライアント)と、この問題をさらに軽減するために協力できるレジストラとレジストリですが、まだ完全ではありません。私はこれに関する提案をまとめ、ユーザーエージェントや他のソフトウェアベンダーが混乱やIDNの視覚的ななりすましを特定するのを支援するライブラリを会社に構築してもらいました。
この '紛らわしい文字列検出' APIの説明は、当社のサイト http://www.casaba.com/products/)にあります。 UCAPI / そして、この問題に関する視覚的な詳細を説明する関連ホワイトペーパーをお楽しみいただけます。
また、Amsが指摘しているように、Unicodeテクニカルレポート36でもこの問題について説明しています。