Som svar på en alvorlig sårbarhed lukker Mozilla-organisationen nu for understøttelsen af domænenavne med specialtegn som de danske æ, ø og å.
Det sker i de næste versioner af de populære open source-browsere Mozilla og Firefox, oplyser Mozilla Foundation.
Der er ifølge organisationen blot tale om en midlertidig lappeløsning på en sårbarhed, der findes i en række browsere, som understøtter disse domænenavne.
Fordi en internetadresse med et tegn som det danske Ø oversættes til en Unicode-tegnkode, kan svindlere gå den anden vej.
Det vil sige, at svindlerne kan oprette domænet www.xn--pypal-4ve.com. En browser, der understøtter IDS, som de internationale domænenavne kaldes, vil vise den som den udbredte betalingstjeneste www.paypal.com. Det skriver internetfirmaet Netcraft.
Dermed kan de i browseren vise en tilsyneladende helt legitim adresse til brugeren, mens indtastningen af kontooplysninger i virkeligheden foregår på svindlernes server.
Denne form for svindel, kaldet phishing, er i forvejen udbredt og benytter andre kendte sårbarheder til at opnå tilsvarende resultater.
Kendt før domæner blev taget i brug
Sårbarheden ligger reelt i selve den udvidelse af navneserver-systemet, som gør de særlige domænenavne mulige.
Sårbarheden var faktisk kendt allerede inden de nye domænenavne blev taget i brug, ligesom der også er udarbejdet retningslinjer for at undgå misbrug.
Derfor opfordrer både Mozilla-organisationen og norske Opera til, at de ansvarlige domæneregistre løser problemet.
Det indebærer blandt andet, at de lokale domæne-organisationer afviser ansøgninger om domænenavne, der kan bruges til denne form for angreb.
Opdateret: Mozilla-organisationen valgte i første omgang at slå understøttelsen af æ, ø, å og en række andre tegn helt fra som standard. Nu har udviklerne bag browserne imidlertid fundet en mindre dramatisk løsning.
I stedet for at vise den oversatte adresse i browseren, vil de nye versioner blot vise den adresse som navneserverne bruger. I eksemplet med den falske Paypal-side vil der altså i adresselinjen stå www.xn--pypal-4ve.com.
De danske regler for domæneregistrering betyder, at det kun er nogle udvalgte specialtegn, der kan registreres. Derfor skulle det ikke være muligt at registrere navne under dk-topdomænet, som kan bruges til phishing.
Brugere, der fortsat ønsker at benytte de internationale tegn, kan slå understøttelsen til igen i de nye versioner, men vil blive advaret om faren.
Microsoft Internet Explorer understøtter ikke domænenavne med internationale bogstaver. Derfor er den udskældte browser for en gangs skyld ikke på listen over browsere, der er ramt af denne sårbarhed.
