Není M jako М
Ačkoliv není na první pohled mezi těmito písmeny žádný rozdíl, opak je pravdou. Zatímco první je písmenem latinky, druhé je písmenem cyrilice. Tenhle nepatrný rozdíl ale může způsobit nemalé komplikace.

Když jsem se poprvé dozvěděl o podobnosti těchto znaků, nepřikládal jsem tomu žádnou váhu ale později jsem přišel na další věc, jak je možno záměnu zneužít. Ale abych nepředbíhal, tak to vezmu pěkně popořadě.
Řadíme podle abecedy
Hledal jsem chybu na webu, protože se mi názvy ruských měst na jednom webu, vybrané z MySQL databáze, řadili tak nějak divně. Příčinou bylo právě to, že je občas někdo uložil s počátečním písmenem M (latinka) a někdy s М (cyrilice). Abych se přiznal, tak jsem problém zatím neměl čas pořádně řešit. Funkčním řešením by ale mohlo být převést kódování na Windows CP1250, což mi jako ideální řešení rozhodně nepřipadá, takže pokud někdo víte, jak na to, budu rád za každou informaci.
Jednoduchý podvrh
Zatímco předchozí problém nebyl "životu" nebezpečný, tady tomu je jinak. Vezměte si například dvě internetové adresy: microsoft.com a мicrosoft.com. Počáteční písmeno je sice trochu jiné, ale napadne vás to v první chvíli? V dnešní době, kdy lze registrovat domény i z mezinárodních znaků, lze takový web využít k podvržení stránky, nebo k získání citlivých dat (v uvedeném příkladu, мicrosoft.com, například pro získání jména a hesla do hotmailu).
Cyrilice má ještě několik podobných, nebo stejně vypadajících znaků, takže tu jakési nebezpečí zneužití je. Proto si raději u pochybných webů ještě zkontrolujte, zda se nejedná o podvrh., třeba zadáním adresy do Google (není vám divné, že nebyl nalezen web Microsoftu?)
Napsal: Jan Zatloukal @ 15. 03. 2010, 18:46
Štítky: web
Komentáře (3) »
Pravdou je, že tyto nepatrné rozdíly mohou způsobit značné problémy a skrývají se v nich i bezpečnostní rizika, jako zmíněný phishing.
Zatím mě jen napadaly věci jako "vv" místo "w" a podobně, ale cizí kláveska mě nenapadla...
Jinak můj browser převede adresu na "http://xn--icrosoft-39g.com/" a ta už příliš podobná originálu není :-)
Ale rozhodně děkuji za upozornění :-)
PHATE
btw: NENÁVIDÍM NEROZPOZNATELNOU CAPTCHU!
Jj, prohlížeč mi to taky převede na ten patvar, ale je otázkou času, až to převádět nebudou.
S tou captchou něco udělám :-)
Proč se domníváte, že to převádět nebudou? Vím, že se teď problematika adres s diakritikou a podobně přetřášá až až, ale myslím, že nikdo s trochou rozumu nemůže něco podobného povolit.
Jak budeme psát adresy v mandarínštině, hebrejštině nebo japonštině?






