Safari の国際化ドメイン名のサポートについて

この記事はアーカイブ済みで、これ以上更新されることはありません。
Security Update 2005-003」により、「「Safari」」の国際化ドメイン名(International Domain Names、IDN)のサポートがアップデートされ、似たような文字を使うことでアドレスフィールド、SSL 証明書、またはステータスバーの URL が偽装される問題を回避できるようになりました。この記事では、「Safari」での IDN のサポートと、それに関して「Security Update 2005-003」が与える影響について詳しく説明します。

問題点
「Safari」では、URL に Unicode 文字を表示することができ、外国語の Web サイトに、その国のネイティブの言語を使ってアクセスできます。たとえば、日本語の「宝島.jp」という Web サイトに行くときに、このドメイン名を表すラテンアルファベットを使う代わりに、日本語を入力することができます。

しかし、実際に表示しているのとは別のサイトを表示しているように思わせるために、よく似た文字を使うことができてしまうという問題があります。たとえば、ラテン文字の“a”の代わりに、キリル文字の“a”が使われていたとしても、ユーザに“www.apple.com”にいるのか、あるいは本物の Web サイトのように見えることを意図した悪質な偽装サイトにいるのかを伝えることが困難です。このようなサイトは、口座番号、パスワード、その他の個人情報の収集に利用される可能性があります。これは、国際化ドメイン名に対応しているすべての Web ブラウザに影響します。「Security Update 2005-003」は、この問題を解決しています。

解決方法
「Security Update 2005-003」は、ドメイン名の中にネイティブのまま表示されるのを許可する、ユーザが編集できる文字種のリストを提供しています。デフォルトのリストには、ユーザをだまして悪質なサイトに誘導するために使われる可能性のある、ラテン語によく似た文字種(チェロキー語、キリル語、ギリシャ語)は含まれていません。

この許可リストにない文字種を含んでいるドメイン名は、Punycode(ピュニコード)と呼ばれる ASCII 形式で表示されます。たとえば、キリル文字の“a”が使われている、URL“http://www.apple.com/”の偽装 Web サイトは、安全を守るために“http://www.xn--pple-43d.com”のように表示されます。このように変換することで、無効な文字種とそうでない文字種を混同してしまうのを防ぐことができます。

許可する文字種のリストを編集して、表示したい文字種を正確に指定することができます。チェロキー語、キリル語、ギリシャ語を追加すると、「Safari」はすべての文字種を表示でき、IDN の既知の脆弱性をさらすことになるので注意してください。文字種のリストを空にしておくと、非 ASCII 文字はすべて、相当する Punycode で表示されます。

管理者のアクセス権限があれば、テキストエディタを使って、許可する文字種のリストを変更できます。このリストは、以下の場所にあります:
/システム/ライブラリ/Frameworks/WebKit.framework/Versions/A/Resources/IDNScriptWhiteList.txt


関連記事

108009 Safety tips for handling email attachments and content downloaded from the Internet(英語の情報です)
公開日: 2016/10/10