Firefox: punycode megjelenítésének bekapcsolása

Probléma: a nemzetközi tartománynevek használata lehetőséget biztosít az angol ábécétől eltérő karakterek címsorban történő használatára/megjelenítésére, ami nem csak nemzetközivé, de sajnos veszélyesebbé is tette a webet, így saját érdekünkben érdemes ezt kikapcsolni.

Firefox logó
Firefox logó

Probléma: a nemzetközi tartománynevek használata lehetőséget biztosít az angol ábécétől eltérő karakterek címsorban történő használatára/megjelenítésére, ami nem csak nemzetközivé, de sajnos veszélyesebbé is tette a webet, így saját érdekünkben érdemes ezt kikapcsolni.

Megoldás: Bolondbiztos megoldás nincs, megint neked, felhasználónak kell figyelned. Ebben segít, hogy Firefoxnál be lehet kapcsolni, hogy mindig a punycode, azaz az átkódolt cím jelenjen meg. Így ha ránézel a címsorra, egyből látod, ha az ismertnek hitt cím valójában mégsem az. A magyar web lemaradása itt segít nekünk: nagyon ritkán találkozni olyan weboldallal, aminek a nevében ékezet van, így ha ilyet látsz, villogjon a piros lámpa a fejedben. A külföldi helyzetről nincs sok információm, de pl. az öbb.at működik (csak HTTP-n és át is irányít).

Szóval, punycode megjelenítésének bekapcsolása:

  1. Írd be a címsorba, hogy about:config
  2. Ígérd meg a Firefoxnak, hogy óvatos leszel
  3. Keress rá a network.IDN_show_punycode beállításra, majd dupla kattintással állítsd át az értékét true-ra

Probléma bővebben:

A weboldalak címeinek a nemzetközivé tétele egy helyes irány a web demokratizálása felé. Jelenleg technológia-történelmi okokból továbbra is az angol ábécé betűi élveznek elsődleges támogatást. Az elmúlt években az internet szinte közművé nőtte ki magát. Míg 15 éve még voltak ismerőseink, akiknek nem volt otthoni internet hozzáférésük, addig manapság nagyítóval kell keresni azokat, akikhez nincs legalább egy minimális hozzáférés bekötve.

Ez jól van így. Az internet korlátlan hozzáférést biztosít az emberiség tudásához, legalábbis ha tudjuk, hol kell keresni. Emiatt viszont olyanok is részesei lettek a világhálónak, akik nem értik, sőt akár nem is akarják megérteni az internetet működtető technológiát, csak használni akarják a saját céljaikra. Nekik teljesen természetellenes, hogy a weboldalak címét az angol ábécé betűivel kell beírni.

Erre az igényre jött egy technológiai válasz, amely a meglévő rendszer működését alig megváltoztatva engedi, hogy mindenki a saját ábécéjét használja. Ízelítőként, próbáltad már a wikipedia.hu helyett a wikipédia.hu címet beírni? Működik! Igaz, csak HTTP protokollon, de ez is valami. :)

De mi az a punycode? A punycode úgy jön a képbe, hogy a DNS (Domain Name System) szerencsénkre továbbra is csak az angol ABC betűivel működik, így valahogy meg kellett oldani a más ábécékből származó karakterek kódolását is. A punycode pont ezt csinálja: UTF-8 → ASCII karakterkódolást végez, avagy másképp fogalmazva a punycode az adott UTF-8 karakter reprezentációja limitált ASCII karakterkészleten.

Ez idáig csak érdekesség lenne.

De sajnos beszélni kell az árnyoldalról is. A probléma gyökere „mindössze” annyi, hogy vizuális átfedések vannak a különböző ábécék betűinek ábrázolása között. Magyarul, két karakter ugyanúgy vagy összetéveszthetően néz ki. Ezeket homoglifeknek hívja a szaknyelv.

A legegyszerűbb példa, amibe te is belefutottál már, hogy egyes elcseszett betűtípusoknál homoglifként viselkedik pl. a 0 és az O is, hiszen csak nagyon nehezen lehet őket egymástól megkülönböztetni.

A probléma az, hogy a hasonló karaktereknek hála, sokkal könnyebb az embereket egy legitimnek látszó weboldalra terelni, hiszen az аpple.com az apple.com, nemde? Nem igazán:

Ugyanaz vagy ugyanolyan?
Ugyanaz vagy ugyanolyan?

Nem új keletű problémáról beszélünk, már a nemzetközi URL-ek bevezetésekor is felvetették néhányan, hogy ebből gond lehet. 2017-ben Xudong Zheng a gyakorlatban is demonstrálta, hogy ez mekkora probléma. Részletek itt: https://www.xudongz.com/blog/2017/idn-phishing/

A böngészők válasza erre leginkább szépségtapaszként értelmezhető. A Mozilla szerint a domain regisztrátorok dolga, hogy a rosszindulatú, a felhasználók megtévesztésére alkalmas domain nevek regisztrálását megakadályozza, böngésző oldalon nem lehet mit tenni.

A Google ezzel szemben úgy döntött, hogy karbantart egy hosszú (jelenleg 13 szabályt tartalmazó) szabályrendszert, ami alapján vagy az eredeti, vagy a puncycode-olt változatát jeleníti meg az URL-nek.

Mindezek tudatában erősen javaslom a punycode megjelenítésének bekapcsolását. Fontos, hogy mindegy mit látsz a címsorban, a böngésző mindig a punycode címen kommunikál a weboldallal, így azok továbbra is megtekinthetőek lesznek. Illetve, továbbra is elfogadja az ékezetes címek beírását is a böngésző, csak átkonvertálja neked.