Hallo Susanne,
in erster Linie ist es erst mal ein allgemeines Sicherheits-Risiko, wenn
man (via WEB-Browser, eMail-Client, Office-Dokument, PDF-Reader, ...)
nicht erkennen kann, dass »Punycode« verwendet wurde. Siehe das Beispiel
»www.apple.com« in der Datei »Punycode und Homografischer Angriff.odt«
in meiner »MagentaCloud« - 2 mal »www.apple.com«, aber leider nur eine
(raffinierte) optische Täuschung !
Ja, das hast Du richtig verstanden:
Mit »Punycode« werden Nicht-ANSI-Schriftzeichen ( beispielsweise das
kyrillische »a«) in ANSI-Code dargestellt und können somit als
WEB-Adresse genutzt werden. Damit können nun »böse Mädels und Jungs«
FAKE-WEB-Seiten erzeugen, deren FAKE-WEB-Adresse kaum von der originalen
WEB-Adresse unterschieden werden kann, wenn der »Punycode«
(beispielsweise im WEB-Browser) nicht angezeigt wird. Download-Links in
der FAKE-WEB-Seite könnten dann unbemerkt Schad-Software auf den eigen
PC herunterladen.
Von selbst kommt »Punycode« nicht in ein LO-Dokument.
Aber da LO »Punycode« unterstützt, könnte man selbst »Punycode« in einem
LO-Dokument platzieren und so den Leser auf eine FAKE-WEB-Seite locken
mit den oben beschriebenen negativen Folgen - habe ich ja auch gemacht
mit der ungefährlichen FAKE-WEB-Seite »www.apple.com«. In den »Unicode
15.1 Character Code Charts« findet sich bestimmt ein Zeichen, mit dem
man unbemerkt ein ANSI-Zeichen in beispielsweise »de.libreoffice.org«
durch ein fast gleich aussehendes anderes Zeichen ersetzten kann, was
man nicht erkennt, wenn in dem LO-Dokument »Punycode« nicht angezeigt
wird.
Ob das jemals von irgendwelchen Leuten - bezogen auf Office-Dokumente -
gemacht wird, keine Ahnung. Aber möglich ist es und deshalb eben auch
ein mögliches Sicherheits-Risiko, das nicht wirklich sein muss, wenn es
eine Konfiguration-Option gibt, über die »Punycode« angezeigt werden
kann.
Ich denke, wenn »Firefox« die Möglichkeit anbietet, durch eine
Konfigurations-Option »Punycode« anzuzeigen, dann sollte so etwas auch
in andere Software integriert werden, die »Punycode« unterstützt, damit
man nicht in die oben beschriebene »Falle tappen« kann:
WEB-Browser, eMailClients, Office-Software, PDF-Reader, ...
In der Datei »Punycode und Homografischer Angriff.odt« in meiner
»MagentaCloud« ist unter Bezügen mit »Malvertising: KeePass-Seite mit
Punycode gefälscht« ein Schad-Software-Beispiel etwas ausführlicher
erläutert.
Viele Grüße
Hans-Werner ;-))
------ Originalnachricht ------
Von "SusLO" <[email protected]>
An "OoOHWHOoO" <[email protected]>
Cc [email protected]
Datum 28.10.2023 10:48:49
Betreff Re: [de-users] OT: Punycode und Homografischer Angriff (auch im
LO-Kontext möglich)
Hallo Hans- Werner,
Danke für Info.
Das ist doch eine Sicherheitslücke?
Wenn ich das richtig verstanden habe, wandelt Punycode UTF-8 Zeichenketten,
also die mit Sonderzeichen wie öä… ? In Asci Code wie oe, ae, … um?
Und wie bzw. Wann kommt Punycode in ein normales Writer Dokument?
Viele Grüße
Susanne
—————————————————
Susanne Mohn
Am 28.10.2023 um 09:54 schrieb OoOHWHOoO <[email protected]>:
Hallo *, wen es interessiert:
IN ALLER KÜRZE
Mit »Punycode« ( https://de.wikipedia.org/wiki/Punycode ) kann man einen
»homografischen Angriff« (
https://de.wikipedia.org/wiki/Homographischer_Angriff ) realisieren.
»Punycode« kann nicht nur in WEB-Adressen enthalten sein, die mit Hilfe einer
Suchmaschine gefunden wurden, sondern auch in eMails und
»LibreOffice«-Dokumenten, da »LibreOffice« »Punycode« unterstützt.
»Firefox« kann man mit wenigen MausKlicks so konfigurieren, dass »Punycode«
angezeigt wird.
Bezüglich »LibreOffice« habe ich nichts gefunden, wie man »LibreOffice«
konfigurieren kann, damit in »LibreOffice«-Dokumente eingebundener »Punycode«,
beispielsweise bei angegebenen WEB-Adressen, angezeigt wird.
AUSFÜHRLICHE BESCHREIBUNG
https://magentacloud.de/s/KYLsjXTzY62DCqF in den Dateien:
[1] Punycode und Homografischer Angriff.odt
[2] Punycode und Homografischer Angriff.pdf
[3] Punycode und Homografischer Angriff.eml
FRAGE
Kann man LibreOffice so konfigurieren, dass »Punycode« angezeigt wird ?
BITTE
Hinweise auf Fehler oder Ergänzungen sind stets willkommen :-))
Grüße
Hans-Werner ;-))
--
Liste abmelden mit E-Mail an: [email protected]
Probleme?
https://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
Tipps zu Listenmails: https://wiki.documentfoundation.org/Netiquette/de
Listenarchiv: https://listarchives.libreoffice.org/de/users/
Datenschutzerklärung: https://www.documentfoundation.org/privacy
--
Liste abmelden mit E-Mail an: [email protected]
Probleme?
https://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
Tipps zu Listenmails: https://wiki.documentfoundation.org/Netiquette/de
Listenarchiv: https://listarchives.libreoffice.org/de/users/
Datenschutzerklärung: https://www.documentfoundation.org/privacy
--
Liste abmelden mit E-Mail an: [email protected]
Probleme?
https://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
Tipps zu Listenmails: https://wiki.documentfoundation.org/Netiquette/de
Listenarchiv: https://listarchives.libreoffice.org/de/users/
Datenschutzerklärung: https://www.documentfoundation.org/privacy
