- Визуально неоднозначные символы
-
Визуа́льно неоднозна́чные си́мволы (англ. Visually Confusable Characters, или VCC) — термин, используемый для обозначения проблемы компьютерной безопасности, когда две различные строки символов выглядят на экране монитора очень похоже.
Дело в том, что компьютерные программы обрабатывают изображённый на экране текст, основываясь на кодах символов. Человек же (пользователь) воспринимает смысл увиденного, основываясь на графическом изображении текста. Ошибочно полагая, что «компьютерный» смысл текста на экране совпадает с «человеческим» — пользователь может выполнить потенциально небезопасные действия.
Содержание
Пример из ASCII
Даже при использовании простейших символьных наборов возможны ошибки. Например, вот такой адрес «inteI.com» на самом деле содержит заглавную I в конце, а не L (это можно увидеть, в частности, если представить ту же строку в другом шрифте —
inteI.com). Ещё более известный пример, это мошенничество с использованием сайта "paypaI.com" (paypaI.com), когда переходя по ссылке из полученного е-мейла на этот сайт, пользователи были уверены, что работают с настоящим сайтом платёжной системы PayPal.[1]Использование Юникода
Представление символа «Й» (U+0419) в виде базового символа «И» (U+0418) и модифицирующего символа « ̆» (U+0306)
Переход от ASCII не меняет суть проблемы, но кардинально меняет масштабы — последняя версия Юникода (6.0 на октябрь 2010 года) содержит порядка 110 000 символов. Дополнительные средства для введения в заблуждение представляют модифицирующие символы, когда ряд букв можно записать либо с помощью одного символа (например, простое Й), либо с помощью нескольких символов.
Способы решения проблемы
«Консорциум Юникода» (unicode.org) предлагает следующий подход, который может быть использован для контроля за входящей информацией:
- Провести «юникодную нормализацию» текста,
- Перекодировать его в соответствии с таблицами визуального соответствия символов,
- И только после этого — провести анализ текста на наличие в нём подозрительных фрагментов.
Примечания
- ↑ PayPal alert! Beware the 'Paypai' scam. ZDNet (21 июля 2000). Архивировано из первоисточника 22 марта 2012. Проверено 2 марта 2011.
Ссылки
- Проблемы безопасности при использовании Юникода (англ.) на сайте Официальный сайт Консорциума Юникода (англ.)
- Мезанизмы безопасности при использовании Юникода (англ.) (там же)
Категория:- Информационная безопасность
Wikimedia Foundation. 2010.
