2017年04月21日 投稿

[Firefox] Punycodeの変換を無効にする(ホモグラフ攻撃防止)


 

Punycode(ピュニコード)とは、URL(ドメイン名)にUnicode文字列を使えるようにする仕組み。

たとえば…
"http://日本語.jp/"
のように、国際化ドメイン名(上の例なら日本語ドメイン名)を表示できる仕組み。

PunycodeのUnicode文字列への変換が有効でない(つまりPunycodeそのものを表示する)場合、上のURLは…
"http://xn--wgv71a119e.jp/"
と、表示される。


Unicode上には、見た目が同じ字や似た字がたくさんある。
ラテン文字の"C"(シー)と、キリル文字の"С"(エス)は、(フォントにもよるが)同じ見た目をしているが、別の文字である。
これを利用して偽サイトが作られていたりする。(ホモグラフ攻撃)


これを避けるのにFirefoxのPunycodeの変換を無効にする方法。

Firefoxの"about:config"画面にて、設定値を以下のように変更。
"network.IDN_show_punycode" → "true"

 

 

 



コメントを残す

メールアドレスが公開されることはありません。