[InetBib] Auflösung des IT-Rätsel

["Bohne-Lang, Andreas via InetBib" <inetbib@xxxxxxxxxx>]

Nun die Auflösung des IT-Rätsels.

Es war nicht, wie einige vermutet haben, Link-Adresse und Link-Titel 
unterschiedlich (das meinte ich mit: keine digitalen "doppelten Boden"), 
sondern schon etwas raffinierter: Ich hatte den ersten Buchstaben 'e' in 
www.inetbib.de gegen ein 'e' aus dem kyrillischen Zeichensatz 
ausgetauscht. Es handelt sich hierbei um die gleich Glyphe, aber aus 
einem anderen Zeichensatz. Da sowohl eMail-Programme als auch Browser 
Unicode-fähig sind, wurden aus der gleich aussehenden URL zwei 
verschiedene Domains (wovon aber nur eine registriert ist).

Leicht war es für Benutzer, die Chrome in der aktuellen Version 
benutzen, denn dieser setzt die URL mit dem kyrillischen 'e' gleich in 
Punycode um (http://www.xn--intbib-4of.de/), so dass man den Schwindel 
schnell erkennen konnte.

Firefox ziert sich noch, Punycode-URLs direkt anzuzeigen - man kann 
dieses aber in der Konfiguration ändern: Browser-URL: about:config -> 
[x] Ich verspreche vorsichtig zu sein -> Suche nach "Puny" -> 
network.IDN_show_punycode auf true setzen.
Wer also Sicherheit der Ästhetik vorzieht, sollte dieses tun.

Hübsch: http://www.universitäten.de
Sicher: http://www.xn--universitten-ocb.de/

Hübsch: http://www.inеtbib.de/ (falsches 'e')
Sicher: http://www.xn--intbib-4of.de/

Hübsch oder sicher? Bei einem homographischen Angriff ("Phishing für 
Fortgeschrittene") wird diese Art der Verschleierung eingesetzt 
(https://de.wikipedia.org/wiki/Homographischer_Angriff), und schon mit 
dem Aufkommen der Unicode-URL und der nativen Anzeige der URL im Browser 
gab es Warnungen, dass man das 'a' in z.B. www.postbank.de durch ein 
kyrillisches 'a' austauschen könnte, um einen Phishing-Angriff auf die 
Kunden der Bank zu durchzuführen.
(Nicht alle Phishing-Angriffe sind so plump, wie die täglichen Beispiele 
aus unserer eMail-Box uns glauben machen möchten.)

Mit den besten Grüßen

Andreas Bohne-Lang

-------------------

Die meisten Antworten waren richtig und gingen direkt an mich - man 
wollte ja den anderen nicht den Spaß verderben. Danke für das Mitmachen!

Sehr schön hat es Herr Kinstler vom der Verbundzentrale des Gemeinsamen 
Bibliotheksverbundes (VZG) zusammengefasst, den ich hier zitieren darf:

In der zweiten URL ist das "e" (es ist eigentlich ein "е") in "inetbib" 
als Hex d0 b5 kodiert, was in Unicode der Codepoint U+0435 ist, also das 
"CYRILLIC SMALL LETTER IE": е. Übliche Zeichensätze stellen dieses 
Zeichen gleich dar, wie das Unicode-Zeichen U+0065, das "LATIN SMALL 
LETTER E", das in der zweiten URL in "inetbib" verwendet wird:

е (CYRILLIC SMALL LETTER IE)
e (LATIN SMALL LETTER E)

Das sind aber ganz unterschiedliche Zeichen, weswegen sie bei 
Verarbeitung auch zu unterschiedlichen Resultaten führen.

Dieses "Phänomen" wird übrigens in bestimmten Kontexten auch als 
Sicherheitsproblem eingeordnet: 
https://de.wikipedia.org/wiki/Homographischer_Angriff

Und es gibt das auch in Bibliotheksdaten, was dann zu Problemen bei der 
Findbarkeit von Datensätzen führen kann...

Viele Grüße aus dem sonnigen Göttingen,
Till Kinstler