vendredi 18 février 2005
Nouvelle réponse à l’imitation d’IDN homographes : les IDN ne seront pas désactivés
Dans le sillage de la vulnérabilité à l’imitation de noms de domaine internationalisés (IDN pour International Domain Names), la fondation Mozilla a annoncé qu’elle désactiverai le support des IDN par défaut comme une mesure temporaire. Cependant, une solution moins drastique a maintenant été trouvée. De nouveau, Gervase Markham a posté des détails sur la nouvelle réponse à court terme. Dans Mozilla Firefox 1.0.1, Mozilla 1.7.6 et Mozilla 1.8 bêta 1, les IDN seront désormais activés mais tous les noms de domaine internationalisés seront affichés en Punycode. Une préférence cachée permettra de désactiver ce comportement. Davantage de détails peuvent être trouvées dans le bogue 282270 (pas de commentaires inutiles SVP). La recherche est toujours en cours pour une solution à long terme.
Je suis heureux de voir qu’un système a été trouvé pour garder l’IDN activé par défaut. Cependant, ne pourrait-on pas afficher l’IDN original autre part (par exemple dans la barre de statut ou à la droite de l’URL codé), peut-être être précédé par le texte « IDN : », de sorte que les gens puissent voir ce qu’était à l’origine le nom de domaine ?
Je pense que ça fait partie des discussions sur une solution à long terme, sachant qu’une info dans la barre d’état n’est pas considéré comme suffisante en matière de notification de sécurité.