Hallo Susanne,
in erster Linie ist es erst mal ein allgemeines Sicherheits-Risiko, wenn
man (via WEB-Browser, eMail-Client, Office-Dokument, PDF-Reader, ...)
nicht erkennen kann, dass »Punycode« verwendet wurde. Siehe das Beispiel
»www.apple.com« in der Datei »Punycode und Homografischer Angriff.odt«
in meiner »MagentaCloud« - 2 mal »www.apple.com«, aber leider nur eine
(raffinierte) optische Täuschung !
Ja, das hast Du richtig verstanden:
Mit »Punycode« werden Nicht-ANSI-Schriftzeichen ( beispielsweise das
kyrillische »a«) in ANSI-Code dargestellt und können somit als
WEB-Adresse genutzt werden. Damit können nun »böse Mädels und Jungs«
FAKE-WEB-Seiten erzeugen, deren FAKE-WEB-Adresse kaum von der originalen
WEB-Adresse unterschieden werden kann, wenn der »Punycode«
(beispielsweise im WEB-Browser) nicht angezeigt wird. Download-Links in
der FAKE-WEB-Seite könnten dann unbemerkt Schad-Software auf den eigen
PC herunterladen.
Von selbst kommt »Punycode« nicht in ein LO-Dokument.
Aber da LO »Punycode« unterstützt, könnte man selbst »Punycode« in einem
LO-Dokument platzieren und so den Leser auf eine FAKE-WEB-Seite locken
mit den oben beschriebenen negativen Folgen - habe ich ja auch gemacht
mit der ungefährlichen FAKE-WEB-Seite »www.apple.com«. In den »Unicode
15.1 Character Code Charts« findet sich bestimmt ein Zeichen, mit dem
man unbemerkt ein ANSI-Zeichen in beispielsweise »de.libreoffice.org«
durch ein fast gleich aussehendes anderes Zeichen ersetzten kann, was
man nicht erkennt, wenn in dem LO-Dokument »Punycode« nicht angezeigt
wird.
Ob das jemals von irgendwelchen Leuten - bezogen auf Office-Dokumente -
gemacht wird, keine Ahnung. Aber möglich ist es und deshalb eben auch
ein mögliches Sicherheits-Risiko, das nicht wirklich sein muss, wenn es
eine Konfiguration-Option gibt, über die »Punycode« angezeigt werden
kann.
Ich denke, wenn »Firefox« die Möglichkeit anbietet, durch eine
Konfigurations-Option »Punycode« anzuzeigen, dann sollte so etwas auch
in andere Software integriert werden, die »Punycode« unterstützt, damit
man nicht in die oben beschriebene »Falle tappen« kann:
WEB-Browser, eMailClients, Office-Software, PDF-Reader, ...
In der Datei »Punycode und Homografischer Angriff.odt« in meiner
»MagentaCloud« ist unter Bezügen mit »Malvertising: KeePass-Seite mit
Punycode gefälscht« ein Schad-Software-Beispiel etwas ausführlicher
erläutert.
Viele Grüße
Hans-Werner ;-))
------ Originalnachricht ------
Von "SusLO" <susanne.mohn-lo@kiel-pries.de>
An "OoOHWHOoO" <OoOHWHOoO@t-online.de>
Cc users@de.libreoffice.org
Datum 28.10.2023 10:48:49
Betreff Re: [de-users] OT: Punycode und Homografischer Angriff (auch im
LO-Kontext möglich)
Hallo Hans- Werner,
Danke für Info.
Das ist doch eine Sicherheitslücke?
Wenn ich das richtig verstanden habe, wandelt Punycode UTF-8 Zeichenketten, also die mit
Sonderzeichen wie öä… ? In Asci Code wie oe, ae, … um?
Und wie bzw. Wann kommt Punycode in ein normales Writer Dokument?
Viele Grüße
Susanne
—————————————————
Susanne Mohn
Am 28.10.2023 um 09:54 schrieb OoOHWHOoO <OoOHWHOoO@t-online.de>:
Hallo *, wen es interessiert:
IN ALLER KÜRZE
Mit »Punycode« ( https://de.wikipedia.org/wiki/Punycode ) kann man einen »homografischen Angriff«
( https://de.wikipedia.org/wiki/Homographischer_Angriff ) realisieren.
»Punycode« kann nicht nur in WEB-Adressen enthalten sein, die mit Hilfe einer Suchmaschine
gefunden wurden, sondern auch in eMails und »LibreOffice«-Dokumenten, da »LibreOffice« »Punycode«
unterstützt.
»Firefox« kann man mit wenigen MausKlicks so konfigurieren, dass »Punycode« angezeigt wird.
Bezüglich »LibreOffice« habe ich nichts gefunden, wie man »LibreOffice« konfigurieren kann, damit
in »LibreOffice«-Dokumente eingebundener »Punycode«, beispielsweise bei angegebenen WEB-Adressen,
angezeigt wird.
AUSFÜHRLICHE BESCHREIBUNG
https://magentacloud.de/s/KYLsjXTzY62DCqF in den Dateien:
[1] Punycode und Homografischer Angriff.odt
[2] Punycode und Homografischer Angriff.pdf
[3] Punycode und Homografischer Angriff.eml
FRAGE
Kann man LibreOffice so konfigurieren, dass »Punycode« angezeigt wird ?
BITTE
Hinweise auf Fehler oder Ergänzungen sind stets willkommen :-))
Grüße
Hans-Werner ;-))
--
Liste abmelden mit E-Mail an: users+unsubscribe@de.libreoffice.org
Probleme? https://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
Tipps zu Listenmails: https://wiki.documentfoundation.org/Netiquette/de
Listenarchiv: https://listarchives.libreoffice.org/de/users/
Datenschutzerklärung: https://www.documentfoundation.org/privacy
--
Liste abmelden mit E-Mail an: users+unsubscribe@de.libreoffice.org
Probleme? https://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
Tipps zu Listenmails: https://wiki.documentfoundation.org/Netiquette/de
Listenarchiv: https://listarchives.libreoffice.org/de/users/
Datenschutzerklärung: https://www.documentfoundation.org/privacy
--
Liste abmelden mit E-Mail an: users+unsubscribe@de.libreoffice.org
Probleme? https://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
Tipps zu Listenmails: https://wiki.documentfoundation.org/Netiquette/de
Listenarchiv: https://listarchives.libreoffice.org/de/users/
Datenschutzerklärung: https://www.documentfoundation.org/privacy
Context
Privacy Policy |
Impressum (Legal Info) |
Copyright information: Unless otherwise specified, all text and images
on this website are licensed under the
Creative Commons Attribution-Share Alike 3.0 License.
This does not include the source code of LibreOffice, which is
licensed under the Mozilla Public License (
MPLv2).
"LibreOffice" and "The Document Foundation" are
registered trademarks of their corresponding registered owners or are
in actual use as trademarks in one or more countries. Their respective
logos and icons are also subject to international copyright laws. Use
thereof is explained in our
trademark policy.