Wat een typisch TheRegister-artikel zeg, het wordt
ontzettend opgeblazen.

Firefox 1.0.1 laat IDN's, als ik
http://www.mozilla.org/products/firefox/releases/ mag
geloven, zien in `PUNYCODE', en vraagt de registrars beter
op te letten welke domeinen ze toekennen. Ik heb het niet
precies uitgeplozen, maar dat lijkt me precies wat de door
TheRegister aangedragen `oplossing' in RFC3743 voorstelt.

Daarnaast vind ik het
`ja-maar-in-gewone-URLs-lijken-I-en-l-ook veel op elkaar in
sommige lettertypes' niet redelijk - van de `I' kun je het
nog een beetje verwachten, van de `p' zou je op het eerste
gezicht niet denken dat er een tweede karakter voor is dat
er zowat hetzelfde uit ziet.

Het bericht van ICANN, door TheRegister samengevat als: `ICANN says idiots', lijkt me helemaal niet direct negatief. Ze zeggen alleen dat het probleem, hoewel het al bestond, inderdaad groter wordt door IDN's, en dat er een lange-termijn oplossing voor moet komen waardoor ze wel gebruikt kunnen (en gaan) worden, maar niet misbruikt.

Het bericht van APTLD lijkt het juist zelfs eens te zijn met het statement van Mozilla, maar wordt door TheRegister ook samengevat als `APTLD says idiots'.

Ik weet niet of dit nu de best denkbare oplossing is, maar
ik vind het een redelijke oplossing. Een perfecte oplossing
kan altijd later nog.

Overigens: hoe lost Internet Explorer dit eigenlijk op?

Ik snap de ophef niet zo, ik heb nogmaals de spoofing test
gedaan en het probleem is wel dergelijk degelijk opgelost.
Url namen kunnen niet meer vervalst worden weergegeven en
daar ging het om.

Waarom wil je dat weten? Gebruik je het dan?

De ophef gaat erom dat IDN in principe zinvol is, en dat
Mozilla door het helemaal uit te schakelen de adoptie van
IDN vertraagt. Bovendien heeft Mozilla iets geschreven in de
trant van `Dit is eigenlijk niet ons probleem, maar het
probleem van de registrars. Omdat die hun werk niet doen en
wij toch onze gebruikers willen beschermen zetten we het
voorlopig uit'.

TheRegister doet het echter inderdaad lijken alsof er veel
meer ophef is dan er in werkelijkheid bestaat, zie mijn post
hierboven :). Ik snap trouwens niet helemaal waarom ze het
nodig vinden Mozilla zo af te zeiken. Maar afzeiken is een
beetje het handelsmerk van TheRegister.

thnx voor de extra uitleg :) ik begrijp het nu beter en ben
nog steeds blij met de oplossing zoals mozilla die nu heeft
uitgebracht ;)

internet explorer maakt GEEN gebruik van IDN..
voor wat ik op mozz heb gelezen..

heeft The Registrar daar niets over te zeiken dan.
Een gedeeltelijke implementatie (in FF) is toch altijd nog
beter dan helemaal geen implementatie (in IE)?

IE heeft standaard geen support voor IDN. Alleen met een plugin kan er
gebruik van gemaakt worden. Hoe het met deze plugin is afgelopen, weet
ik ook niet.

Iemand zin om dit na te pluizen?

Een terugkerend thema in thrillers is dat een pand zodanig
wordt verbouwd dat nietsvermoedende bezoekers (bijv. de
hoofdrolspeler) handelingen verrichten waar ze spijt van
krijgen (als ze het overleven).

In tegenstelling tot een pand is een website zo gekopieerd,
en is het de vraag of enkele afwijkingen in details door
nietsvermoedende bezoekers worden opgemerkt, temeer die
details bij herhaling gespoofed blijken te kunnen worden
(denk bijv. aan "url's" in de statusbalk). Dit wordt
versterkt door het feit dat op legitieme websites
voortdurend vanalles verandert, d.w.z. de layout tussen
sessies, maar denk ook aan afleidende dynamische content
tijdens de sessie. Ik vermoed dat met enige social
engineering ("sorry, maar t.g.v. een technisch probleem
hebben we tijdelijk een andere hostname") de meeste mensen
ook onbekende URL's zullen accepteren.

Wat vaak vergeten wordt is dat we uiteindelijk naar ongeveer
een miljoen pixels zitten te kijken die elk door complexe
software worden aangestuurd (denk aan alle lagen,
waaronder DNS). De vraag is hoe we, en met welke
betrouwbaarheid, een gebruiker ervan kunnen overtuigen dat
de pixelcombinaties voor z'n neus door de bedoelde website
worden aangestuurd.

Security die-hards zullen onmiddellijk "certificaten" roepen
maar vooral met de implementatie van de bijbehorende
technologie bleek bij herhaling vanalles mis te gaan. Daar
komt bij dat de meeste mensen er geen flauw benul van hebben
hoe certificaten precies werken (complexiteit en
desinteresse) en ze (aangeleerd) tevreden zijn met het zien
van een slotje, als het ze al opvalt dat dit een keer
niet verschijnt.

Het feit dat je op bijv. http://www.paypal.com/
(en, for that matter, security.nl) een wachtwoord kunt
intypen (dus een site waarvan de identiteit nog niet d.m.v.
een certificaat enigszins is aangetoond) is opvoedkundig
gezien bizar. Ten slotte is m.i. de aanpak van certificaten
in browsers te "binair": een certificaat wordt geaccepteerd
of niet (zo niet dan verschijnen er vreselijk enge
popups). Certificaat aanhangers raad ik aan
http://www.schneier.com/paper-pki.html nog eens
na te lezen.

Kortom, het hele gedoe over IDN's is overdreven. Er bestaat
gewoon niet zoiets als secure browsen; het is insecure of
iets minder insecure.

Erik van Straten

Om een lang verhaal kort te maken: was het niet een fout in
het IDN protocol?
In IE was IDN nog niet geïmplementeerd (hoewel deze
gebruikers met de IDN-plugin óók ontvankelijk zijn
voor deze bug.)
Het is terecht dat Mozilla IDN ondersteuning zolang
standaard op uit zet.

Nee het is geen fout in IDN. De standaard houdt er rekening
mee en geeft adviezen om het te voorkomen (als het al een
'fout' is is het de fout dat verschillende dingen zo op
elkaar lijken in het gewone schrift). Ik vind het jammer dat
het uit wordt gezet, beetje een Microsoft achtige oplossing
(zie de ftp security hole destijds, wat wel een echte fout
was). Ik heb er wel weer vertrouwen in dat het gewoon weer
aangaat zodra ze een goede oplossing hebben bedacht.