27. Februar 2005:

Mehr Sicherheit für Firefox-Nutzer

Die Mozilla Stiftung hat eine neue Version ihres Erfolgsbrowsers Firefox veröffentlicht. Die Version 1.0.1 soll etliche, kürzlich entdeckte Sicherheitslücken schließen. Darunter befindet sich auch eine Schwachstelle bei der Unterstützung von Internationlized Domain Names (IDN), die von Phishern ausgenutzt werden könnte, um Surfer auf gefälschte Websseiten zu locken. Das Sicherheitsupdate soll solche Phishing-Angriffe erschweren. In der Adressleiste des Browsers werden Sonderzeichen künftig nur noch in der Punycode-Schreibweise angezeigt. Stimmt die Schreibweise einer URL, die man per Email erhalten und angeklickt hat, nicht mit der Schreibweise in der Browseradresszeile überein, sollten beim Surfer künftig sofort die Alarmglocken läuten.

IDN-Namen müssen in DNS-Namen übersetzt werden
Seit dem 1. März letzten Jahres sind in Domainnamen nicht nur die Zeichen des ASCII-Zeichensatzes, sondern auch Umlaute, Akzente und sonstige länderspezifische Sonderzeichen erlaubt. Der neue IDN-Standard macht’s möglich – und zwar durch einen „Trick“. Damit das bisherige Domain Name System (DNS) nicht geändert werden musste, werden alle Webadressen, die Sonderzeichen enthalten, automatisch in Domainnamen übersetzt, die auch für das DNS interpretierbar sind. Das Verfahren, das die Übersetzung vornimmt, heißt ASCII Compatible Encoding (ACE). Übersetzt werden die neuen Domainnamen durch einen Punycode genannten Algorithmus, der dabei einen so genannten ACE-String erzeugt, der auch für das DNS interpretierbar ist. Ein Beispiel: Aus der schönen deutschen URL www.müller.de wird nach der Übersetzung der ACE-String www.xn--mller-kva.de/. An der vorangestellten Zeichenfolge „xn-“ erkennt das DNS, dass hier ein ACE-String vorliegt. Anhängsel wie „-kva“ enthalten Informationen über das zusätzliche Zeichen, dessen Position und die Wortlänge.

Manchmal ist ein „a“ kein „a“
Bedeutsam wird die Unterscheidung zwischen „normaler“ Schreibweise und Punycode-Schreibung dann, wenn ein verwendetes Sonderzeichen rein äußerlich kaum von einem lateinischen Buchstaben zu unterscheiden ist. Dies ist beispielsweise beim kyrillischen und lateinischen „a“ der Fall. Sicherheitsspezialisten hatten darauf hingewiesen, dass Phisher die Ähnlichkeit beider Zeichen ausnutzen könnten, um den Surfer auf eine gefälschte Webseite zu locken. Am Beispiel des US-amerikanischen Internetbezahldienstes paypal.com lässt sich diese Problematik gut verdeutlichen. Tauscht man das erste „a“ in paypal durch das kyrillische „a“ aus, würden alle Browser mit IDN-Unterstützung in ihren Adressleisten beide Adressen trotzdem identisch als paypal.com anzeigen. Die Gefahr, statt auf das gewünschte paypal.com-Webangebot auf eine gefälschte Webseite entführt zu werden, ist also groß.

Firefox 1.0.1 beugt vor
Die Firefox-Entwickler haben diese Gefahr durch eine neue Einbindung der Internationalized Domain Names entschärft. Um möglichen Phishing-Angriffen vorzubeugen werden in der Adresszeile des Browsers Sonderzeichen ab sofort nicht mehr dargestellt. Vielmehr wird jetzt die Unicode-Schreibweise benutzt. Befindet sich beispielsweise im Domainnamen „paypal.com“ ein kyrillisches „a“, so sorgt der Punycode-Modus dafür, dass dieses Sonderzeichen im Domainnamen auch als solches angezeigt wird. Aus „paypal.com“ wird somit „xn—pypal-4ve.com“. Ein Blick in die Adresszeile des Browsers genügt, und der Surfer weiß, dass er auf eine gefälschte Webseite gelockt werden soll.

Firefox 1.0.1 auch in deutscher Sprachversion
Neben der Phishing- bzw. Spoofing-Lücke schließt die neue Firefox-Version 1.0.1 noch einige weitere kürzlich entdeckte Sicherheitslecks. Auch Stabilität und Schnelligkeit sollen durch das Update verbessert worden sein. Die neue Firefox-Version steht ab sofort zum kostenlosen Download auch in einer deutschen Sprachversion für die Betriebssysteme Windows, Linux und MacOS X bereit.

Zurück zur News-Übersicht