Mám takový pocit, že tohle je kvůly diakritice v doménových jménech, tam se tenhle formát používá pokud browser neumí používát doménu s diakritikou

Opera 8 beta build 7401 je take postizena

Mne to v adresnom poli napísalo www.payp?l.com po kliknuti na ten Vas odkaz, nepresmerovalo ma to na tu stranku co vy pisete, ale presmerovalo ma to na WWW stranku nasho Providera internetu. Mam IE 6 + SP1.
Tak teraz neviem, ci som postihnuty alebo nie som............

base: Nejste - IE neumi IDN, neboli domenova jmena v narodnich abecedach.

base : "Tak teraz neviem, ci som postihnuty alebo nie som............" - tazko takto na dialku povedat :))

Na zive.cz v diskuzi to kdosi vysvetloval - ten znak а neni 'a', ale ruske pismeno z azbuky, ktere je velmi podobne. Kdyz si to fixnete, tak po kliku na url uvidite 2 rozdilna 'a' v paypal v chybovy hlasce, kterou to vypise. Takze IMHO to NENI chyba browseru.

Nevim, jak vam, ale me to nejde. Pri zadani adresy proste nic nenajde.

To rozhodně není chyba prohlížečů. Je to kvůli podpoře doménových jmen s diakritikou. Jelikož DNS servery s diakritikou nepočítají, tak browsery ty znaky převedou podle určitého algoritmu právě na to xn--....., čemuž už DNS rozumí. Jelikož by z takového tvaru byl uživatel zmaten, tak dole ve status baru a v adresním řádku zobrazují ten tvar s diakritikou.
Ale zneužít by se toho dalo...

tak neříkajte, že to není chyba - stát se to u IE, tak zase každej nadává na IE, jak je děravý - poslední dobou vše co lze zneužít je označováno za chybu

klasika.. keby sa nieco dodrbe v IE tak tu uz flamuje polka naroda .. ale akonahle najdu nieco v ich milacikoch firefoxoch a inych jemu podobnym, tak tu uz kazdy mudruje ze to vlastne neni ani chyba alebo chyba je uplne niekde inde....
 
mno.. a co ked je chyba v tom ze pouzivate windows... zase sa to moze hodit na MS, zivot je krasny..
 
IE user only - have brains to not need other

Safari 1.2.4 to ma taky

Poslusne hlasim, ze:

Opera 8 beta 1
po zadani teto adresy (www.paypа.com) neudela vubec nic

Firefox CZ 1.0
Nelze nalézt uvedené jméno serveru.

IE
adresa se zmeni na
http://auto.search.msn.com/response.asp?MT=www.payp%26%231072;.com&s...
a nic to nenajde

Tak o co jde??????

Aha, pardon, uz jsem to pochopil, musi se kliknout na <A href=... takovy odkaz. No, to je hezke, snad to opravi. Po dlouhe dobe se zase objevila chyba, kterou ie vyjimecne nema, to uz je co rict :-).

Tak podle vseho do MSIE se da tahle ficura doinstalovat, ackoli jenom jako software nezavislych vyrobcu (napriklad VeriSign - zdarma). Bezpecnostni dira postihuje v podstate cely Internet s vyjimkou domen, kde nejsou idn povolene. MS je ve zpozdeni s vyvojem, ale nahodou se mu postestilo, ze to muze vydavat za prednost. To je cela podstata nynejsiho pozdvizeni...

No kdyby řekl MS že to není díra to by se děly věci...

Pokud jde o bezpecnost a jistotu ze vidim stranky toho koho myslim ze vidim, jde to zarucit jedne bezpecnymi protokoly jako treba https, kde me browser varuje pokud certifikat nejakym zpusobem nesedi.

Nesifrovany protokol http je nebezpecny sam o sobe. I bez podobnych 'děr v prohlížeči' se vám může stát podobná věc protože existují různé útoky už na úrovni (nebezpecneho) protokolu TCP/IP (arp spoofing, man in the middle attack).

Tim nesnizuji tuhle vec, melo by to byt zretelne, ze jde o jinou URL, ale zas tak vazna vec to neni. Opravit podobnou chybu je jako nechat si vymenit zamek kdyz jsem ztratil klic a pritom pravidelne nechavat otevrene okna a dvere do zahrady.

Jenže ona to opravdu není díra, nevím, jak v jiných systémech, ale u mě se tam zobrazí písmeno, které je sice podobné písmenu a, ale vypadá jinak. A jak už tu bylo řečeno - je to inherentní vlastnost technologie IDN, čili mezinárodních doménových jmen.

Podstata celé "bezpečností díry" je v tom, že jsou si některé znaky podobné, to je vše. Něco jako kdyby se bralo jako bezpečnostní díra, že je možné zadat www.citybank.com místo www.citibank.com a je to jiná stránka :-)

pro NeMeSiS @ 62.65.185.70 - dnes, 9. února 2005, 09:00
nekteri lidi jsou neuveritelni hlupaci
tim myslim jako tebe nemesis

Hmm, opravdu nevim co ma prohlizec spolecnyho s tim, ze nektery pismenka sou podobny. Jediny rozumny reseni co me napada je, ze bude link v jinym nez ASCI kodovani zobrazenej trebas cervene, na coz by IMO stacilo upravit konfiguraci.

Mám "Mozilla 1.6 Mozilla/5.0 (X11; U; Linux i686; cs-CZ; rv:1.6) Gecko/20040113" a vidím adresu http://www.paypаl.com/ ale to druké a je někaké zmenšené. Pokud ale chci poslat odkaz ten už je správně.

Oprava:
Mám "Mozilla 1.6 Mozilla/5.0 (X11; U; Linux i686; cs-CZ; rv:1.6) Gecko/20040113" a vidím adresu http://www.paypal.com ale to druhé "a" je někaké zmenšené. Asi jiný font.
Pokud ale chci poslat odkaz v odkazu je http://www.paypal.com ale dojde <http://www.payp?l.com/> takže je nefunkční.

budiž to další důkaz o nesmyslnosti diakritických jmen, ještě že je nemáme i u nás

DavesMan: To neni chyba. A kdyby jo, tak uz je to "zacatku" internetu, kde zacatek myslim kdy se zacal pouzivat pro normalni ucely. Proste kazda adresa je cislo. A ma to i tu vyhodu, ze pokud jsou nekde sahodlouhe adresy, jako kdyz stahujes od Microsoftu, ciselne to je srandovne kratke. A s tou diakritikou mas pravdu. Myslim ze zde na cdr.cz se o diakritice nedavno psalo. Ale zase diakritika ma nevyhodu tu, ze kdyz bude misto www.zive.cz www.zive.cz (z s hackem), tak to nekdo mimo CR nezada. Leda ze nainstaluje podporu, etc. Zde zase vitezi ciselna adresa :))

uuuuuuuuu: Presne...

Chulda: &#1072 a podobne kraviny to zobrazuje i kdyz zkusim COPY&PASTE diakritiku a vlozim v Japonskych Windowsech.

nagger: Zajimave, to same co ty pozoruji jiz delsi dobu. Jakmile je dira v MS produktu, vsichni rvou jak na lesy a co ze to je za shi*. Ale kdyz se to stane treba v Mozille ci Opere, tak jako by nic. Proste si holt nekdo nevidi ani na spicku nosu :)

Howard: zadani adresy do Opery nic neudela, ale kdyz na to kliknes jako link, tak se budes dost divit :) I Opera se da kolikrat nadherne oblbnout. A to pouzivam Operu :)

pokus:
http://www.сdr.cz
Mimochodem, něco specificky českého: víte kolik tuzemců by navštěvovalo podstrčené stránky, kdyby Kypr povolil registraci libovolných domén druhé úrovně (*.cy)? Stačí mít jen blbě přepnutou klávesnici :-)

 

Keddie: Problém mezi klávesnicí a židlí nebude, tohle by se totiž mohlo nechat dost dobře uneužít. Například pokud by se někomu podařilo propašovat se tímto způsobem mezi klienta a banku. Slušně zabezpečené banky (typu eBanka) by sice měly být imunní vůči nepravým platebním příkazům, ale samotné monitorování protékajících důvěrných dat také není věc, o kterou by lidé stáli.
Ovšem poněkud mi uniká, jak by se proti tomu mělo nechat bránit bez zákazu IDN. Což by z mého pohledu bylo prospěšné, ale asi by to neprošlo. Mimochodem, zastáncům IE - pokud by IE uměl IDN, jel by v tom taky. Jeho jedinou výhodou je v tomto ohledu jeho zastaralost. Pokud si nainstalujete plugin pro podporu IDN (http://download.i-dns.net/), bude vám to dělat také. Naopak u mozilloidů to jde zakázat v about:config (volbu network.enableIDN na false), ale není to na 100%, pod MS Windows to sice funguje, ale např. u Firefoxe 1.0 pod Gentoo se mi podpora IDN tímto způsobem bůhvíproč vypnout nepodařila.

michich > Jeste musi byt v 'Adblock options' zapnuta volba 'Site blocking'. Potom to funguje.

Toto není chyba prohlížečů, to je jejich vlastnost...abych parafrázoval jednu legendární větu...;-)

A jeste jedna vec pro paranoiky: Tu domenu ve tvaru xn-- by nemelo byt mozne si v duveryhodnych TLD (cz, sk, com, net, org, edu...), ktere nepodporuji
IDN, zaregistrovat. Je to prave z toho duvodu, aby se zamezilo spekulacim s domenami cilenymi na preklep.

na fóru czilla.cz se objevilo jak tuto chybu velmi rychle "opravit"
stačí zadat v adresní řádce about:config, vyhledat network.enableIDN a změnit hodnotu na false.

Když potom kliknete na testovací odkaz objeví se vám hláška že web nebyl nalezen.