Tipps & Tricks 19.02.2018, 07:00 Uhr

Stopfen Sie die üble Zeichensatz-Falle im Firefox

Firefox-Nutzer könnten sich nach wie vor mittels einer fiesen Methode in die Phishing- oder Virenfalle locken lassen. Aber Sie nicht!
Schauen Sie sich einmal die folgenden beiden Domainnamen an. Die sehen genau gleich aus, richtig?
аррӏе.com
apple.com
Sind sie aber nicht! Die untere ist tatsächlich die Domain des Mac- und iPhone-Herstellers Apple. Die obere sieht hingegen nur so aus. Wenn Sie die Domain kopieren und der Adresszeile im Firefox verfüttern, landen Sie hier:
Was ist denn mit «Apple» passiert?
Das ist zum Glück keine gefährliche Seite, sondern die Webseite eines IT-Profis, der in seinem Blogpost auf ein gefährliches Problem aufmerksam macht, das allerdings schon sehr lange bekannt ist.
Es gibt im Unicode-Zeichensatz nicht nur unser westliches Alphabet plus Ziffern und Sonderzeichen, sondern auch Zeichen aus vielen anderen Zeichensätzen, z.B. dem kyrillischen. Und einige dieser Zeichen sehen unseren zum Verwechseln ähnlich. Die Gefahr besteht erst, seit internationalisierte Domainnamen möglich wurden. Das sind Domainnamen mit Zeichen ausserhalb des westlichen (eigentlich englischen) Alphabets. Damit wurden damals übrigens auch Umlautdomains möglich (z.B. sprüngli.ch mit ü statt ue). Im Hintergrund werden die Domainnamen zu Zwecken der Rückwärtskompatibilität in so genannten Punycode umgewandelt.
Das Problem mit den internationalisierten Domainnamen ist gefährlich, weil Betrüger damit sogar sehr vorsichtige User auf gefälschte Webseiten locken könnten. Die Ursache wurde in einigen Browsern schon angegangen. Zum Beispiel der Internet Explorer unter Windows 7 findet beim Versuch, die mit Unicode-Zeichen manipulierte Domain anzusurfen: «Die Datei (sic!) аррӏе.com wurde nicht gefunden». Er scheint solche Domainnamen überhaupt nicht zu verstehen. Diesmal verzeihen wir ihm, dass er etwas nicht kann. Googles Browser Chrome öffnet die Seite, wandelt aber die Unicode-Zeichen in der Adresszeile direkt in den Punycode um, der für Nutzer eher wie Zeichensalat aussieht. Hier dürfte dem User auffallen, dass etwas nicht stimmt. Ebenso verhält sich übrigens Microsofts Edge-Browser unter Windows 10.
Chrome zeigt die Website an, aber offenbart die Puny-Codierung
Von den weitverbreiteten Browsern ist es nur noch Firefox, der dem Nutzer die Tatsache unterschlägt, dass die Domain ihn in die Falle locken möchte.
Aber wie können wir Ihnen beweisen, dass es sich bei «аррӏе.com» nicht um die gleichen Zeichen handelt wie bei «apple.com»? Folgendes können Sie selbst ausprobieren.
Wir nehmen Excel zu Hilfe und kippen die ersten fünf Buchstaben der Fakedomain «аррӏе.com» in je eine Excel-Zelle von A1 bis E1, genau wie die ersten fünf der echten Apple-Domain apple.com, in A4 bis E4. Gleich darunter können wir uns mit der Funktion UNICODE (z.B. =UNICODE(A1)) die Nummer des entsprechenden Zeichens anzeigen lassen.
Excel hilft beim Nachvollziehen der gefälschten Zeichen
Schon sehen Sie, dass es sich bei den oberen Buchstaben um die Unicode-Zeichen 1072, 1088, 1088, 1231 und 1077 handelt, also völlig andere als die unteren: 97, 112, 112, 108 und 101.

Abhilfe

Das Beispiel mit Excel diente nur der Verdeutlichung des Problems. Logisch, dass Sie jetzt nicht jeden Link vor dem Anklicken einer solch aufwändigen Excel-Prüfung unterziehen können. Es gibt aber einen Workaround für Firefox, damit jener beim Aufrufen einer Domain ebenfalls die Punycode-Variante anzeigt. Tippen Sie in die Adressleiste des Firefox die Zeichenfolge about:config (ohne Leerzeichen), drücken Sie Enter und klicken Sie auf den Button Ich bin mir der Gefahren bewusst.
Tippen Sie oben im Suchfeld die Zeichenfolge network.IDN_show_punycode ein. 
Das ist der Eintrag zum Umschalten
Schalten Sie diesen Eintrag per Doppelklick auf True um und schliessen Sie den Konfigurations-Tab wieder. Wenn Sie jetzt die Fake-Seite «аррӏе.com» besuchen wollen, zeigt auch der Firefox die Punycode-Variante der Domain an: https://xn--80ak6aa92e.com/.
Jetzt sieht man der Domain auch im Firefox an, dass es sich nicht um normale Zeichen handelt
Don't panic: Nicht jede Umlaut- oder Sonderzeichen-Domain (oder deren Punycode) ist gefährlich. Wenn Sie jetzt eine völlig harmlose Umlautdomain besuchen, wird auch bei dieser der Punycode angezeigt. Das ist aber normal. Viele etablierte Firmen leiten die Umlautdomains wie orellfüssli.ch oder sprüngli.ch ohnehin auf die schon seit Jahren registrierten Varianten mit ae, oe und ue um (z.B. spruengli.ch).



Kommentare
Es sind keine Kommentare vorhanden.