Date: prev next · Thread: first prev next last
2023 Archives by date, by thread · List index


Hallo Susanne,

in erster Linie ist es erst mal ein allgemeines Sicherheits-Risiko, wenn man (via WEB-Browser, eMail-Client, Office-Dokument, PDF-Reader, ...) nicht erkennen kann, dass »Punycode« verwendet wurde. Siehe das Beispiel »www.apple.com« in der Datei »Punycode und Homografischer Angriff.odt« in meiner »MagentaCloud« - 2 mal »www.apple.com«, aber leider nur eine (raffinierte) optische Täuschung !

Ja, das hast Du richtig verstanden:

Mit »Punycode« werden Nicht-ANSI-Schriftzeichen ( beispielsweise das kyrillische »a«) in ANSI-Code dargestellt und können somit als WEB-Adresse genutzt werden. Damit können nun »böse Mädels und Jungs« FAKE-WEB-Seiten erzeugen, deren FAKE-WEB-Adresse kaum von der originalen WEB-Adresse unterschieden werden kann, wenn der »Punycode« (beispielsweise im WEB-Browser) nicht angezeigt wird. Download-Links in der FAKE-WEB-Seite könnten dann unbemerkt Schad-Software auf den eigen PC herunterladen.

Von selbst kommt »Punycode« nicht in ein LO-Dokument.

Aber da LO »Punycode« unterstützt, könnte man selbst »Punycode« in einem LO-Dokument platzieren und so den Leser auf eine FAKE-WEB-Seite locken mit den oben beschriebenen negativen Folgen - habe ich ja auch gemacht mit der ungefährlichen FAKE-WEB-Seite »www.apple.com«. In den »Unicode 15.1 Character Code Charts« findet sich bestimmt ein Zeichen, mit dem man unbemerkt ein ANSI-Zeichen in beispielsweise »de.libreoffice.org« durch ein fast gleich aussehendes anderes Zeichen ersetzten kann, was man nicht erkennt, wenn in dem LO-Dokument »Punycode« nicht angezeigt wird.

Ob das jemals von irgendwelchen Leuten - bezogen auf Office-Dokumente - gemacht wird, keine Ahnung. Aber möglich ist es und deshalb eben auch ein mögliches Sicherheits-Risiko, das nicht wirklich sein muss, wenn es eine Konfiguration-Option gibt, über die »Punycode« angezeigt werden kann.

Ich denke, wenn »Firefox« die Möglichkeit anbietet, durch eine Konfigurations-Option »Punycode« anzuzeigen, dann sollte so etwas auch in andere Software integriert werden, die »Punycode« unterstützt, damit man nicht in die oben beschriebene »Falle tappen« kann:

WEB-Browser, eMailClients, Office-Software, PDF-Reader, ...

In der Datei »Punycode und Homografischer Angriff.odt« in meiner »MagentaCloud« ist unter Bezügen mit »Malvertising: KeePass-Seite mit Punycode gefälscht« ein Schad-Software-Beispiel etwas ausführlicher erläutert.

Viele Grüße
Hans-Werner ;-))


------ Originalnachricht ------
Von "SusLO" <susanne.mohn-lo@kiel-pries.de>
An "OoOHWHOoO" <OoOHWHOoO@t-online.de>
Cc users@de.libreoffice.org
Datum 28.10.2023 10:48:49
Betreff Re: [de-users] OT: Punycode und Homografischer Angriff (auch im LO-Kontext möglich)

Hallo Hans- Werner,

Danke für Info.
Das ist doch eine Sicherheitslücke?
Wenn ich das richtig verstanden habe, wandelt Punycode UTF-8 Zeichenketten, also die mit 
Sonderzeichen wie öä… ? In Asci Code wie oe, ae, … um?

Und wie bzw. Wann kommt Punycode in ein normales Writer Dokument?

Viele Grüße
Susanne

—————————————————
Susanne Mohn

 Am 28.10.2023 um 09:54 schrieb OoOHWHOoO <OoOHWHOoO@t-online.de>:

 Hallo *, wen es interessiert:

 IN ALLER KÜRZE

 Mit »Punycode« ( https://de.wikipedia.org/wiki/Punycode ) kann man einen »homografischen Angriff« 
( https://de.wikipedia.org/wiki/Homographischer_Angriff ) realisieren.

 »Punycode« kann nicht nur in WEB-Adressen enthalten sein, die mit Hilfe einer Suchmaschine 
gefunden wurden, sondern auch in eMails und »LibreOffice«-Dokumenten, da »LibreOffice« »Punycode« 
unterstützt.

 »Firefox« kann man mit wenigen MausKlicks so konfigurieren, dass »Punycode« angezeigt wird.

 Bezüglich »LibreOffice« habe ich nichts gefunden, wie man »LibreOffice« konfigurieren kann, damit 
in »LibreOffice«-Dokumente eingebundener »Punycode«, beispielsweise bei angegebenen WEB-Adressen, 
angezeigt wird.

 AUSFÜHRLICHE BESCHREIBUNG

https://magentacloud.de/s/KYLsjXTzY62DCqF in den Dateien:

 [1] Punycode und Homografischer Angriff.odt
 [2] Punycode und Homografischer Angriff.pdf
 [3] Punycode und Homografischer Angriff.eml

 FRAGE

 Kann man LibreOffice so konfigurieren, dass »Punycode« angezeigt wird ?

 BITTE

 Hinweise auf Fehler oder Ergänzungen sind stets willkommen :-))

 Grüße
 Hans-Werner ;-))
 --
 Liste abmelden mit E-Mail an: users+unsubscribe@de.libreoffice.org
 Probleme? https://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
 Tipps zu Listenmails: https://wiki.documentfoundation.org/Netiquette/de
 Listenarchiv: https://listarchives.libreoffice.org/de/users/
 Datenschutzerklärung: https://www.documentfoundation.org/privacy


--
Liste abmelden mit E-Mail an: users+unsubscribe@de.libreoffice.org
Probleme? https://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
Tipps zu Listenmails: https://wiki.documentfoundation.org/Netiquette/de
Listenarchiv: https://listarchives.libreoffice.org/de/users/
Datenschutzerklärung: https://www.documentfoundation.org/privacy
--
Liste abmelden mit E-Mail an: users+unsubscribe@de.libreoffice.org
Probleme? https://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
Tipps zu Listenmails: https://wiki.documentfoundation.org/Netiquette/de
Listenarchiv: https://listarchives.libreoffice.org/de/users/
Datenschutzerklärung: https://www.documentfoundation.org/privacy

Context


Privacy Policy | Impressum (Legal Info) | Copyright information: Unless otherwise specified, all text and images on this website are licensed under the Creative Commons Attribution-Share Alike 3.0 License. This does not include the source code of LibreOffice, which is licensed under the Mozilla Public License (MPLv2). "LibreOffice" and "The Document Foundation" are registered trademarks of their corresponding registered owners or are in actual use as trademarks in one or more countries. Their respective logos and icons are also subject to international copyright laws. Use thereof is explained in our trademark policy.