Xudong Zheng นักวิจัยทางด้าน security พบวิธีการจด domain ให้เหมือนกับ domain ที่แท้จริงอย่าง apple.com, google.com, etc. โดยการใช้ unicode ในการจด domain

วิธีการดังกล่าวเป็นการกระทำที่เรียกว่า “Homograph Attack” คือทำหน้าตาของ domain ให้มีความคล้ายคลึงกับของที่มีอยู่แล้ว โดยสิ่งที่นาย Zheng ทำคือการจดโดเมนโดยใช้ Punycode เช่น аpple.com จริงๆแล้วมันคือ xn--pple-43d.com เป็นต้น ซึ่งเมื่อมันเป็น Unicode ตัว Browser เราจะแปลงให้จาก “а” (U+0430) ของ Cyrillic ให้หน้าตาเหมือนกับ “a” (U+0041) ใน ASCII ทำให้เวลาการจด domain ไม่ซ้ำ แถมเวลาดูใน URL มันจะเหมือนกับ domain apple อีกด้วย

ทั้งนี้ทาง Google Chrome และ Firefox ได้รับเรื่องการ report นี้แล้ว และจะแก้ไขใน version ใหม่ที่กำลังจะออก โดย Google Chrome จะแก้ไขใน version 59 ส่วนทาง Firefox ยังไม่แน่ใจว่ามันอยู่ใน scope ของที่ทาง Firefox จะต้องแก้ไขหรือไม่ครับ โดยตอนนี้ใส่รายะเอียดของ Bug นี้ให้เป็น “RESOLVED” และ “WONTFIX” ไปก่อนครับ

เราสามารกำหนดใน Firefox ให้ไม่ทำการแปลง Unicode โดยเข้าไปที่ about:config จากนั้นกำหนดค่า network.IDN_show_punycode เป็น true

Source:: xudongz.com