瀏覽器處理非 ASCII 網域名，有漏洞釀釣魚風險

網址有沒有 HTTPS 是辨識假網站的簡單方法，不過現在沒有這麼簡單了，因為有研究人員利用瀏覽器處理非 ASCII 字元網域名稱的漏洞，示範如何建立一個冒充蘋果的釣魚網站，而且還加入了 SSL 憑證，不留神的話很容易信以為真。

不法分子利用相似的字元製作魚目混珠的網址並非新鮮事，除了 0 和 0、1 和 l 之外，他們也會利用其他不同語言但形狀相似的 Unicode 字母，例如拉丁字母 a （U+0041）和西里爾字母 а（U+0430）。

針對後者情況，瀏覽器是有辨法應對。當網址的字元混雜 ASCII 和其他 Unicode 時，便會採用 Punycode 來展示。例如短 .co 會轉換成 xn--s7y.co；採用西里爾字母 а 的 аpple.com 會轉換成 xn--pple-43d.com。

網址全用非 ASCII 字元，Chrome、Firefox 無法轉換至 Punycode

不過有研究人員發現，當網址域名全部採用非 ASCII 字元時，瀏覽器的保護機制便會失效。當 apple.com 的 apple 全部改用西里爾字母 аррӏе.com 時，理論上會顯示 xn--80ak6aa92e.com，但 Chrome 和 Firefox 仍然顯示 аррӏе.com。不過在我的 Windows 8.1 Firefox 瀏覽器中，只要注意狀態列便可察覺到異樣，аррӏе 的字型與 .com 特別不同。

▲ 把滑鼠移動到 аррӏе.com 的連結時，可見 аррӏе 一字有異樣。

由於兩款字元非常相似，人們難以分出真偽；如果網站再加上 HTTPS，人們便會以為是正常網站。所以不法分子可藉此製作高仿真度的釣魚網站。

Chrome 和 Firefox 已知道這個漏洞，Chrome 將會於新版本解決問題，但 Firefox 仍然沒有修復計畫，不過 Firefox 用戶可到 about:config 把 network.IDN_show_punycode 設為 true 以強制顯示 Punycode。IE 和 Safari 則沒有問題。