Seit einiger Zeit gibt es die Möglichkeit, auch in Domainnamen Umlaute zu nutzen. So kann man beispielsweise www.buecher.de heute auch unter www.bücher.de erreichen.
Leider sorgt die technische Spezifikation zu Umlautdomains dafür, dass Nutzer von IDN-fähigen Browsern momentan bei keiner Webadresse sicher erkennen können, ob sie wirklich auf der richtigen Website landen.
Das Sicherheitsproblem, von dem Internet Explorer-Nutzer ausnahmsweise einmal nicht betroffen sind, beschreibt intern.de: Betroffen sind die Browser Netscape, Mozilla, Firefox, Opera und Co.,
die die Umlautdomains ‚von Haus aus‘ öffnen können. Diese Browser haben die Richtlinie der "Internationalisierten Domain Namen (IDN)" korrekt implementiert.
Danach werden nicht nur die deutschen Umlaute, sondern auch eine große Zahl weiterer spachspezifischer Zeichen über ihre jeweilige Punycode-Entsprechung zwar eindeutig definiert. Für den Nutzer sieht im Browser-Adressfenster allerdings beispielsweise der Domainname www.pаypal.com gleich aus – egal, ob er mit lateinischem oder kyrillischem "a" codiert wurde.
Je nach verwendetem Buchstaben ergeben die Punycode-Entsprechung jedoch verschiedene Adressen, wie die IDN-Beispielseite www.shmoo.com/idn/ anhand der Adresse www.paypal.com beweist.
Dies macht deutlich, dass derzeit mit einfachsten Mitteln jeder Domainname gegenüber Nutzern IDN-fähiger Browser gefälscht werden kann. Eine schnelle Abhilfe ist leider nicht in Sicht.
Herzliche Grüße aus Hürth
Nicola Straub
Nachtrag (15.02.2005 22:15): Kaum gemeldet, schon gibt es eine Reaktion der Firefox/Mozilla-Entwickler:
"In den kommenden Mozilla Firefox 1.0.1 und Mozilla 1.8 Beta-Releases wird die IDN-Unterstützung deaktiviert sein. Für Nutzer, die diese benötigen, wird es eine XPI geben, mittels derer die IDN-Unterstützung wieder aktiviert werden kann." Man wisse, dass dies auf lange Sicht nicht befriedigend sei und hoffe auf eine bessere Lösung für die Version 1.1 (von Firefox).
Nachtrag 2 (21.02.2005 22:45): Nun schlagen die Mozilla-/Firefox-Entwickler doch einen anderen Weg ein, berichtet heise online: Statt die IDN-Unterstützung abzuschalten, sollen solche Domainnamen
zukünftig im zugehörigen Puny-Code angezeigt werden. Im Adressfeld des Browsers würde im Paypal-Beispiel dann "http://www.xn--pypal-4ve.com" angezeigt, was Verwechslungen wohl ausschließen dürfte. Eine alternative Lösung, die bei IDN-Adressen Warnmeldungen aufpoppen lässt, ist bereits als Extension für die aktuelle Firefoxversion verfügbar.
Die Opera-Entwickler arbeiten dieser Meldung nach ebenfalls bereits an Lösungen für das Problem.
Nachtrag 2 (01.03.2005 09:47): Opera veröffentlichte vergangene Woche die zweite Betaversion des kommenden Opera 8. Die Entwickler gehen hier bezüglich der IDN-Domains einen Mittelweg: Bei Toplevel-Domains, bei denen nur unverwechselbare IDN-Zeichen möglich sind, werden die Zeichen normal angezeigt, bei anderen Toplevel-Domains in ihrer Punycode-Entsprechung. Zu den als ‚verwechslungssicher‘ eingestuften Toplevel-Domains gehören laut Heise online derzeit die Länder-Domains .de, .at, .ch und .li, die ccTLDs einiger von Japan, China, Südkorea und Taiwan) sowie Schwedens, Dänemarks und Norwegens.
Lädt...
TÜV-Siegel: Trügerische Sicherheit?
Sicherheit für Online-Shop-Betreiber: kleine Malware, großer Schaden