В сети опять обсуждается тема омографических атак, на этот раз с участием браузера Safari. Я рассказывал о таких атаках в этой главе курса. Если кратко: перед вами адрес веб-сайта и он выглядит так Aррle.com, но на самом деле это другой сайт, так как несколько или все символы на самом деле не латиница. Я использовал вместо латинских «pp» две кириллические буквы «рр» и браузер сразу меня раскусил, но иногда система защиты срабатывает не так хорошо.
Основная защита от подобных атак, применяемая в браузере - запрет на параллельное использование нескольких таблиц символов, иными словами, нельзя использовать кириллицу и латиницу сразу, либо в латинское написание сайта добавить какой-то символ из Unicode.
К сожалению, иногда это не срабатывает. В Unicode есть замечательный символ «Латинская строчная буква dum», его не просто с чем-то спутать, но вот в браузерной строке Safari он выглядел как обычная d и, что самое неприятное, он определялся как обычный символ латиницы. Если бы злоумышленник зарегистрировал доменное имя с использованием данного символом, например, копию того же LinkedIn, пользователи Safari просто бы не обнаружили бы разницы с оригинальным LinkedIn.
Это очень опасная атака и вам стоит помнить про нее, да, эту уязвимость Apple исправила, но маловероятно, что это последний случай. Потому ссылки лучше всегда вводить вручную, если это короткий сайт, если это длинная ссылка вроде https://book.cyberyozh.com/ru/elektromagnitnyie-kompleksyi-dlya-unichtozheniya-dannyih-na-zhestkih-diskah/ можно скопировать все символы после домена, а сам домен (https://book.cyberyozh.com) ввести вручную.
Основная защита от подобных атак, применяемая в браузере - запрет на параллельное использование нескольких таблиц символов, иными словами, нельзя использовать кириллицу и латиницу сразу, либо в латинское написание сайта добавить какой-то символ из Unicode.
К сожалению, иногда это не срабатывает. В Unicode есть замечательный символ «Латинская строчная буква dum», его не просто с чем-то спутать, но вот в браузерной строке Safari он выглядел как обычная d и, что самое неприятное, он определялся как обычный символ латиницы. Если бы злоумышленник зарегистрировал доменное имя с использованием данного символом, например, копию того же LinkedIn, пользователи Safari просто бы не обнаружили бы разницы с оригинальным LinkedIn.
Это очень опасная атака и вам стоит помнить про нее, да, эту уязвимость Apple исправила, но маловероятно, что это последний случай. Потому ссылки лучше всегда вводить вручную, если это короткий сайт, если это длинная ссылка вроде https://book.cyberyozh.com/ru/elektromagnitnyie-kompleksyi-dlya-unichtozheniya-dannyih-na-zhestkih-diskah/ можно скопировать все символы после домена, а сам домен (https://book.cyberyozh.com) ввести вручную.