거베이스 마크햄은 이제 모질라 재단의 제품들이 국제 도메인 이름(International Domain Names – IDNs)의 표시 방법를 결정하기 위해 최상위 도메인(TLD) 화이트리스트를 이용한다고 발표하였다. 관련되는 버그로는 286534번 버그와 299927번 버그가 있다. 앞으로 나올 모질라의 프로그램은 .at, .ch, .cn, .de, .dk, .hu, .jp, .kr, .li, .museum, .no, .se, .tw로 끝나는 IDN을 각 나라의 문자를 이용하여 표시하는데, 이 도메인의 등록 기관에서는 동형 이의어 도메인 이름을 등록해 주지 않기로 하였다. 다른 IDN은 Punycode로 표시된다. 자세한 정보는 IDN을 지원하는 TLD의 리스트를 참조하기 바란다.
지난 2월 대부분의 브라우저가 IDN 동형 이의어 스푸핑 취약성이 있음(원문)이 알려졌다. 이는 다른 IDN이 브라우저 사용자 인터페이스에서 같은 모습으로 보일 수 있음을 의미한다. 예를 들어 두 개의 도메인 이름이 하나는 라틴 ‘a’ 문자를 쓰고 다른 하나는 키릴 ‘a’ 문자를 이용한다면 화면에서는 구별할 수 없다. 이는 피싱 공격 등에 악용될 수도 있다.
모질라 재단은 일시적인 대책으로써 처음에는 IDN 지원 중단을 고려()하였으나 이를 철회하고 대신 IDN을 Punycode로 표시)원문)하기로 결정하였다. (Punycode: 유니코드를 ASCII로 표현하는 방법) 이는 모질라 파이어폭스 1.0.1 및 모질라 1.7.6 시기에 결정된 것이지만 영구적으로 적용되기로 한 적은 없다.
최상위 도메인 등록 기관은 동형 이의어 도메인 이름의 등록을 방지하는 정책을 세움으로써 화이트리스트에 등록될 수 있다. 오페라 브라우저는 사용자를 보호하기 위해 비슷한 방법을 쓰고 있으며 모질라 재단과 오페라가 이용하는 화이트리스트는 현재로서 동일하다.
No comments yet
Post a comment