Inloggning för arbetsgruppen







> Glömt lösenordet?
> Glömt användarnamnet?



Svenska datatermgruppens
sekretariat sköts av


Sveriges nationella centrum för terminologi och fackspråk

Arbetet stöds av


Visning

Separat förklarande artikel (nr 9)


Risker vid användning av Unicode i domännamn

Som grund för IDN används teckentabellerna som finns återgivna i teckenkoden Unicode. Där tilldelas varje existerande teckenglyf från världens alla skriftsystem (liksom matematiska symboler, några få skriftsystem som numera är utdöda m.m.) ett heltal, dess kodposition. En kodposition i Unicode brukar skrivas ”U+XXXX”, där XXXX är kodpositionens numeriska värde som ett hexadecimalt tal (talbas 16). Exempel: Tecknet α (grekiska lilla alfa) lagras som heltalsvärdet 945 och dess kodposition skrivs U+03B1. Unicode har plats för över en miljon tecken - varav ca 100 000 tecken hittills placerats in - och kan ersätta några hundra olika äldre former av teckenkodningssystem. Vid användning av Unicode i IDN-domännamn finns vissa begränsningar av vilka tecken som får användas.

En risk med införandet av Unicode som många diskuterar idag är möjligheten till att förväxla tecken från olika teckenmängder. På många sätt skulle användningen av enbart Unicode-baserade programvaror bli mer robust och säker. När system använder en blandning av flera olika teckenuppsättningar för att representera tecken finns det risk för att någon utnyttjar skillnaderna mellan olika uppsättningar eller det sätt på vilket program konverterar eller översätter mellan dem. Eftersom Unicode innehåller ett så stort antal tecken kan felaktig användning exponera program eller system för möjliga attacker. Överväganden kring säkerhet måste därför finnas med i utvecklingen av system som ska hantera Unicode.

I Unicode tekniska rapport nr 36 <http://www.unicode.org/reports/tr36/> beskrivs överväganden om säkerhet som är viktiga att vara medveten om för den som arbetar med Unicode. Dokumentet är under utformning (september 2005) och kommer att förändras och utvecklas successivt. Tillägg kommer att göras när det är nödvändigt. Det är viktigt att alla som hanterar domäner håller sig underrättade kring säkerhetsaspekterna på Unicode och domännamn.

I den aktuella versionen diskuteras två områden: kanonisk representation och visuell förfalskning (eng. spoofing). Förfalskningen innebär här en avsiktlig felstavning av ett domän- eller användarnamn för att lura in omedvetna användare i interaktion med bluffwebbsidor som om de vore de riktiga. T.ex. går det att lura användare genom att använda siffran 1 i stället för "l" (gement L; se ordlistartikeln om bluffwebbplats). Unicodestandarden innehåller många tecken vars glyfer antingen av historiska skäl eller av en ren slump liknar varandra.

Problemet är inte unikt för Unicode. Många av dagens teckenkoder, inklusive ISO 8859-1, innehåller förväxlingsbara tecken (även om de förstås är färre än i den stora Unicodemängden), och medför i sig samma risker när det gäller förfalskning. Utförligare resonemang kring dessa frågor finns på webbsidan <http://www.unicode.org/faq/security.html#1>.


Källa/författare: Anne-Marie Eklund Löwinder, <NIC-SE> <datatermgruppen.se>

Senast ändrad 4 mars 2006